앤트로픽 이어 오픈AI도 '자율 해킹 AI모델' 공개…보안 당국 초긴장

등록 2026.04.15 14:42:45

앤트로픽 '미토스' 이어 오픈AI도 'GPT-5.4-사이버' 공개

소스 코드 없이 시스템 취약점 찾아 파고든다

보안 전문가들 "기존 보안체계 한순간 무용지물 될 수 있어…패러다임 전환 시급"

[뉴욕=AP/뉴시스] 한 컴퓨터 화면에 나와 있는 앤트로픽 웹사이트 페이지와 회사 로고. 2026.04.13.

[서울=뉴시스] 신효령 기자 = 전 세계 사이버 보안 당국에 비상이 걸렸다. 생성형 AI(인공지능)의 선두주자 오픈AI가 보안 취약점 탐지에 최적화된 초고성능 모델을 공개하면서다. 소스코드가 없어도 실행 파일만으로 내부 로직을 분석해 취약점을 찾아낸다. 위력 면에서 앤트로픽의 '미토스'와 유사하다. 이같은 '자율 해킹 AI'은 기존 국가 보안시스템의 근간을 뒤흔들 만한 파괴력을 지녔다는 게 관계 전문가들의 분석이다.

오픈AI, 'GPT-5.4-사이버' 공개…앤트로픽 '미토스'에 맞불

오픈AI는 소프트웨어(SW) 보안 취약점 탐지에 최적화한 'GPT-5.4-사이버' 모델을 선보였다고 14일(현지시간) 밝혔다. 이 모델은 기존 GPT-5.4를 기반으로 사이버 보안 방어에 특화된 기능을 강화한 것으로, 보안 전문가들이 취약점을 분석하고 위협을 탐지하는 데 활용할 수 있도록 설계됐다.

이 모델의 핵심은 소스 코드가 공개되지 않은 소프트웨어 실행파일만으로도 내부 구조를 분석하는 '2진 역공학(바이너리 리버스 엔지니어링)' 기능이다.

기존에는 수만 줄의 기계어 코드를 보안 전문가가 일일이 대조하며 취약점을 찾았다면, 이제는 AI가 이를 단 몇 분 만에 훑어내며 숨겨진 악성코드나 설계 결함을 찾아낸다. 특히 주목할 점은 오픈AI가 보안 연구를 위해 AI의 가드레일을 전략적으로 낮췄다는 것이다. 평소라면 해킹 위험이 있다며 거절했을 요청도, 검증된 전문가에게는 제한 없이 수행하게 함으로써 실전 방어 역량을 극대화했다.

오픈AI는 이 모델을 일반 사용자에게 공개하지 않고, 검증된 보안 전문가와 기관만을 대상으로 한 '신뢰할 수 있는 접근(TAC)' 프로그램을 통해 제한적으로 제공한다. 현재 수백 명 수준인 제공 대상을 몇 주 안에 수천 명 규모로 확대해 보안 시장에서의 영향력을 빠르게 키워나갈 계획이다.

GPT-5.4-사이버는 기존 AI 모델보다 보안 업무에 특화된 기능을 갖췄다. 예를 들어, 컴파일된 프로그램을 직접 분석하는 '바이너리 역공학' 기능을 통해 소스코드 없이도 취약점이나 악성코드를 탐지할 수 있는 것으로 알려졌다.

이번 오픈AI의 행보는 라이벌 기업 앤트로픽이 내놓은 '미토스' 모델이 불러온 파장과 궤를 같이한다. 최근 앤트로픽이 아마존, 애플 등 주요 파트너사에 한정 배포한 미토스는 인간 전문가를 압도하는 취약점 발굴 능력을 입증하며 미 금융권과 정부 기관에 커다란 충격을 안겼다.

"30년 된 보안 체계, AI에겐 1분짜리 퍼즐"

'GPT-5.4-사이버'는 숙련된 보안 전문가들이 수개월간 매달려야 하는 수만 줄의 코드 분석을 단 몇 분 만에 완벽히 수행한다. 오픈AI는 모델을 공개하며 "30년 된 보안 체계도 AI에게는 1분짜리 퍼즐에 불과하다"고 선언했다. 인간의 속도로는 도저히 따라잡을 수 없는 '초격차' 분석 능력을 과시한 것이다.

이러한 파괴력은 앤트로픽의 '미토스'를 통해서도 이미 증명된 바 있다. 최근 앤트로픽은 미토스를 통해 27년 동안 발견되지 않았던 '오픈BSD(OpenBSD)'의 버그를 단숨에 찾아냈다. 인간의 개입 없이 수천 개의 치명적 결함을 자율적으로 발견하는 AI의 등장은 보안 업계에 공포에 가까운 충격을 안겼다.

실제로 스콧 베선트 미 재무장관과 제롬 파월 연방준비제도(Fed) 의장은 이례적으로 대형 은행 CEO들을 소환해 긴급 점검 회의를 열었다. AI가 금융 시스템의 낡은 코드를 전수 조사해 취약점을 무더기로 찾아낼 경우, 이를 노린 해커들에 의해 금융 대란이 발생할 수 있다는 우려 때문이다. 오픈AI가 이 시점에 GPT-5.4-사이버를 내놓은 것은, 이러한 불안감을 잠재우는 동시에 '방어용 AI'의 표준을 선점하겠다는 계산이 깔려 있다.

[서울=뉴시스] 기사의 이해를 돕기 위한 해커 이미지. (사진=유토이미지) 2026.04.03. *재판매 및 DB 금지

우리 정부도 본격적인 대응에 나섰다. 과학기술정보통신부가 14일부터 15일까지 통신 3사와 네이버, 카카오, 우아한 형제들, 쿠팡 등 주요 플랫폼 기업, 15일에는 정보보호 기업, 기업 정보보호최고책임자들과 잇따라 비공개 현안점검 회의를 가졌다. 앞서 금융위원회는 전날 권대영 부위원장 주재로 금융감독원, 금융보안원, 은행·보험권 최고정보보호책임자(CISO) 등을 불러 긴급 현안 점검 회의를 개최했다.

◎공감언론 뉴시스 [email protected]