“GPT·클로드로도 충분했다”…티오리가 증명한 ‘AI 해킹의 대중화’
등록 2026.04.17 06:00:00수정 2026.04.17 06:18:24
클로드 오퍼스 4.6·GPT-5.4로 '미토스' 성과 재현
특수 모델 없이도 추가 제로데이 12건 발견
"모델보다 취약점 선별·검증 시스템이 핵심"
![[서울=뉴시스] 티오리 AI 보안 솔루션 '진트 코드(Xint Code)' (사진=티오리 제공) 2026.03.23. photo@newsis.com *재판매 및 DB 금지](https://img1.newsis.com/2026/03/23/NISI20260323_0002090438_web.jpg?rnd=20260323090918)
[서울=뉴시스] 티오리 AI 보안 솔루션 '진트 코드(Xint Code)' (사진=티오리 제공) 2026.03.23. [email protected] *재판매 및 DB 금지
[서울=뉴시스]윤정민 기자 = 국내 보안기업인 티오리가 앤트로픽의 보안 특화 인공지능(AI) 모델 '미토스'가 찾아낸 핵심 보안 취약점을 범용 AI만으로 찾아낼 수 있다고 주장했다. 특정 고성능 모델에 의존하지 않더라도 체계적으로 설계된 분석 시스템을 활용하면 더 높은 수준의 취약점 탐지가 가능하다는 설명이다.
티오리는 16일 공개한 '당신은 미토스가 필요하지 않다'는 제목의 보고서를 통해 자사 AI 기반 코드 분석 도구 '진트 코드'가 미토스가 발견한 주요 취약점을 모두 탐지했다고 밝혔다.
![[서울=뉴시스] 앤트로픽 보안 강화 이니셔티브 '프로젝트 글래스윙' (사진=앤트로픽) *재판매 및 DB 금지](https://img1.newsis.com/2026/04/16/NISI20260416_0002113038_web.jpg?rnd=20260416161729)
[서울=뉴시스] 앤트로픽 보안 강화 이니셔티브 '프로젝트 글래스윙' (사진=앤트로픽) *재판매 및 DB 금지
앤트로픽은 지난 7일(현지 시간) '클로드 미토스 프리뷰'를 발표하며 이 모델이 수천 건의 제로데이(소프트웨어나 시스템의 보안 취약점 중에서 개발사나 보안 업계가 아직 인지하지 못했거나 패치가 나오지 않은 부분) 취약점을 발견했다고 말했다.
구체적으로 오픈BSD TCP SACK 구현부에서 발견된 27년 된 서비스 거부(DoS) 취약점 , FFmpeg의 H.264 코덱 내 16년 된 버그 , 프리BSD NFS 서버에서 인증 없이 관리자 권한을 획득할 수 있는 17년 된 원격 코드 실행(RCE) 결함 등이 있다.
앤트로픽은 현재 미토스를 '프로젝트 글래스윙'이라는 이니셔티브를 통해 아마존, 애플, 마이크로소프트, 구글 등 약 40개 기관에만 제한적으로 제공하고 있다. 이 모델이 대규모 취약점 탐지와 공격(익스플로잇) 생성 능력을 갖춘 만큼 악용 가능성을 고려해 일반 공개 대신 제한된 환경에서 먼저 검증·방어 목적으로 활용하도록 했다.
하지만 미토스 모델을 제공받지 못한 국가나 기업들 사이에서는 보안 격차에 대한 우려가 커지고 있다. 실제로 미국 등 주요국 정부와 금융권에서는 해당 기술이 공격에 활용될 가능성을 우려하며 대응 방안을 논의하고 있는 것으로 알려졌다.
국내에서도 과학기술정보통신부가 산업계, 학계와 함께 AI 기반 사이버 위협 대응 체계 점검에 나서는 등 관련 대응 논의가 본격화되고 있다.
"미토스 없어도 돼"…티오리, 제로데이 12건 추가 발견
![[서울=뉴시스] 티오리는 16일 공개한 '당신은 미토스가 필요하지 않다'는 제목의 보고서를 통해 자사 AI 기반 코드 분석 도구 '진트 코드'가 미토스가 발견한 주요 취약점을 모두 탐지했다고 밝혔다. 2026.04.16. (사진=티오리 제공) *재판매 및 DB 금지](https://img1.newsis.com/2026/04/16/NISI20260416_0002113043_web.jpg?rnd=20260416161810)
[서울=뉴시스] 티오리는 16일 공개한 '당신은 미토스가 필요하지 않다'는 제목의 보고서를 통해 자사 AI 기반 코드 분석 도구 '진트 코드'가 미토스가 발견한 주요 취약점을 모두 탐지했다고 밝혔다. 2026.04.16. (사진=티오리 제공) *재판매 및 DB 금지
티오리는 앤트로픽 '클로드 오퍼스 4.6'과 오픈AI 'GPT 5.4' 등 현재 대중적으로 사용 가능한 일반 모델을 결합해 미토스가 파악했다는 취약점을 분석했다. 그 결과 연구용 모델이나 사전 최적화 없이도 미토스가 발견한 취약점들을 모두 발견했다고 주장했다.
티오리에 따르면 이들 취약점은 단순 코드 오류가 아니라 메모리 손상, 서비스 장애, 원격 코드 실행 등으로 이어질 수 있는 고위험 결함으로 실제 공격 시 시스템 장악까지 가능한 수준이다.
특히 티오리는 같은 코드베이스에서 앤트로픽이 공개하지 않았거나 찾지 못한 것으로 추정되는 제로데이 취약점 12건을 새롭게 발견했다고 말했다.
오픈BSD 네트워킹 스택(5건)과 FFmpeg 코덱 라이브러리(7건)에서 발견됐으며 이 중 11건은 고위험, 1건은 중간 등급으로 평가돼 현재 '책임 있는 공개(서비스·제품 운영자에게 먼저 제보해 패치할 시간을 준 뒤 공개하는 보안 대응 절차)' 절차가 진행 중이다.
"탐지 성능 좌우하는 건 '모델' 아닌 '시스템'"
다만 AI 기반 보안의 핵심 경쟁력에 대해 모델 성능이 아니라 운영 시스템에 있다고 강조했다. 미토스 성과 역시 단일 모델이 아닌, 21명의 앤트로픽 보안 연구원이 공격 표면 식별과 코드 분석, 취약점 검증 등 복합적인 과정이 결합한 결과라는 것이다.
티오리는 ▲공격 표면 식별, 타깃팅 ▲심층 코드 분석 ▲착취 가능성 검증 ▲구조화된 결과 생성 등 4단계 파이프라인으로 '진트 코드'에 제품화했다고 밝혔다. 기존에는 수십 명의 보안 전문가가 수개월간 수행하던 레드팀 작업을 제품 내에 내재화해 기업이 별도의 전문 연구 조직 없이도 펜테스트(침투 테스트)급 보안 진단을 즉시 활용할 수 있다고 설명했다.
또 진트 코드는 '모델 불가지론적' 설계를 채택해 향후 미토스급 모델이 일반에 공개되거나 더 뛰어난 성능의 새로운 AI 모델이 등장할 경우 기존 설정을 변경하지 않고도 이를 즉시 시스템에 적용해 탐지 성능을 향상시킬 수 있다고 덧붙였다.
티오리 측은 "앤트로픽 '미토스'가 제로데이를 찾는 능력으로 많은 주목을 받고 있지만 진짜 어려운 문제는 거대언어모델(LLM)이 버그를 인식하느냐가 아니다"라며 "900만줄의 코드베이스에서 조사할 적절한 코드를 찾고 모델이 내뱉는 수백 가지 이론적 약점 중 진짜 취약점을 구분해 개발자가 즉시 조치할 수 있는 결과물을 내놓는 시스템을 갖추는 것이 핵심"이라고 밝혔다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
