韓 천재 해커 "미토스급 AI, 수개월 내 또 온다…방어 속도 지금 못 올리면 끝"

등록 2026.04.30 19:19:13수정 2026.04.30 19:23:34

박세준 티오리 대표 "미토스급 AI, 6~12개월 내 확산" 전망

범용 AI 진화로 해킹 자동화 가속…"사람 중심 보안 체계, 이미 한계"

피싱·계정 탈취까지 AI가 진화…AI 도입 통제 아닌 대응 체계 변화 필요

[서울=뉴시스] 윤정민 기자 = 박세준 티오리 대표가 30일 오후 서울 중구 롯데호텔에서 열린 '제4기 개인정보 기술포럼 위촉식·토론회'에서 '미토스 등장에 따른 보안 대응 전략'을 주제로 발표하고 있다. 2026.04.30. alpaca@newsis.com

[서울=뉴시스] 윤정민 기자 = 박세준 티오리 대표가 30일 오후 서울 중구 롯데호텔에서 열린 '제4기 개인정보 기술포럼 위촉식·토론회'에서 '미토스 등장에 따른 보안 대응 전략'을 주제로 발표하고 있다. 2026.04.30. [email protected]

[서울=뉴시스]윤정민 기자 = 앤트로픽 인공지능(AI) 모델 '클로드 미토스'급 모델이 올해 또 등장할 것이라는 전망이 나오면서 사이버 보안 대응을 인간 중심에서 AI 기반 자동화 체계로 전환해야 한다는 경고가 나왔다.

박세준 티오리 대표는 30일 오후 서울 중구 롯데호텔에서 열린 '제4기 개인정보 기술포럼 위촉식·토론회'에서 "미토스 수준의 AI는 특정 기업에만 머무르지 않는다. 우리에게 주어진 시간은 몇 년이 아니라 몇 개월 단위"라며 이같이 밝혔다.

미토스는 앤트로픽의 생성형 AI 모델 '클로드' 기반으로 소프트웨어 취약점 탐지와 공격 시나리오 생성까지 수행할 수 있는 수준의 고도화된 모델이다. 현재 미토스는 앤트로픽이 선정한 일부 기업·기관만 쓰이고 있다.

이를 두고 정부와 관련 업계·학계 일각에서는 앤트로픽이 추진 중인 보안 협력 이니셔티브 '프로젝트 글래스윙' 참여 여부를 포함해 대응 체계 구축 필요성이 제기되고 있다.

"미토스, 특정 기업 기술 아니다…비슷한 모델, 1년 안에 구현될 것"

[서울=뉴시스] 앤트로픽 보안 강화 이니셔티브 '프로젝트 글래스윙' 주요 참여사. 2026.04.18. (사진=앤트로픽 블로그) *재판매 및 DB 금지

박 대표는 미토스가 특정 기업만의 기술로 남지 않을 것이라고 강조했다. 그는 "이 수준의 AI가 특정 기업에만 머무르지 않는다. 경쟁사나 오픈 모델 진영에서도 미토스 수준의 범용 인텔리전스를 6~12개월 내 구현할 것으로 보고 있다"며 "굳이 미토스에 접근하지 않더라도 몇 개월 뒤면 누구나 유사한 역량을 사용할 수 있게 된다"고 말했다.

이어 "우리에게 주어진 시간은 몇 년이 아니라 몇 개월 단위"라며 "이런 기술이 개인정보 시스템에 적용되면 취약점 탐지와 공격이 자동화되면서 결국 개인정보 탈취로 직결될 수 있다"고 지적했다.

박 대표는 공격 패러다임이 이미 근본적으로 바뀌었다고 진단했다. 그는 "과거에는 취약점 하나를 찾는 데 몇 주, 몇 달이 걸렸지만 이제는 몇 분, 몇 시간 내에 가능하다"고 말했다.

침해 방식도 달라졌다. AI 기술 발전으로 이름, 직무, 최근 활동까지 반영한 맞춤형 피싱 메시지가 만들어지고 있다. 예를 들어 소셜네트워크서비스(SNS)에 '병원 다녀왔다'는 글을 올리면 '검사 결과가 도착했다'는 식의 개인화된 공격이 들어온다.

특히 박 대표는 "요즘 공격자는 시스템을 뚫고 들어오는 게 아니라 정상 계정을 확보해 로그인해서 들어온다"며 "이에 탐지가 훨씬 어려워지고 몇 달 동안 내부에 머물며 정보를 빼가는 경우가 많다"고 말했다.

"AI 막으면 더 위험…통제 없는 사용이 더 큰 리스크"

그렇다면 AI 해킹 위협이 증가할 이 시기에 어떻게 대응해야 할까.

박 대표는 기업 내부에서 통제되지 않은 '쉐도우 AI'(비인가 AI 사용) 확산을 주요 리스크로 지목했다. 그는 "실제 2023년 국내 대기업에서도 한 엔지니어가 소스코드 문제를 해결하기 위해 외부 AI에 디버깅을 요청했다가 코드가 해외 서버로 전송된 사례가 있었다"며 "가장 쉬운 해결 방법이 동시에 가장 큰 정보 유출 경로가 될 수 있다"고 말했다.

실제 조사에서도 유사한 경향이 나왔다. 지난해 마이크로소프트 영국 법인이 발표한 조사에 따르면 자사 임직원의 71%가 회사 승인 없이 AI 도구를 사용한다고 답했다. 한국도 이와 크게 다르지 않을 것이라는 게 박 대표 추측이다.

하지만 박 대표는 AI 사용을 제한하는 접근이 오히려 역효과를 낳을 수 있다고 지적했다. 그는 "AI를 막으면 직원들은 몰래 쓴다. 그 순간 더 큰 위험이 발생한다. 어떤 도구를 어떤 데이터에 쓰는지 관리하는 거버넌스가 중요하다"고 말했다.

검증 역량 역시 한계에 도달했다는 지적이다. 박 대표는 "이미 코드 생성 속도가 인간의 검토 속도를 압도하고 있다"며 "글로벌 보안 인력도 약 480만명 부족한 상황에서 사람 중심 검증으로는 감당이 불가능하다"고 전했다.

이에 따라 방어 전략의 근본적 전환이 필요하다고 강조했다. 그는 "AI 도입을 늦추는 것이 아니라, 코드가 만들어지는 속도만큼 검증 속도를 기계 수준으로 끌어올려야 한다"며 "AI 기반 자동 검증과 실시간 모니터링 체계가 필수"라고 설명했다.

또 "AI 기반 방어를 도입한 기업은 침해 사고 1건당 약 190만 달러(약 28억원)에 달하 비용을 절감하고 대응 시간도 80일 단축한 사례가 있다"며 "AI는 공격자만의 무기가 아니라 강력한 방어 수단이 될 수 있다. 이제 중요한 건 AI를 쓸지 말지가 아니라 누가 먼저 방어에 AI를 도입하느냐"라고 강조했다.

아울러 "모든 것을 자동화하는 것이 아니라, 설계와 의사결정 등 핵심 영역 5%에 사람을 집중해야 한다"며 인력 재배치 필요성도 제기했다.

박 대표는 "이제 경쟁력은 누가 더 빨리 시스템을 개발하느냐가 아니라, 그 시스템이 얼마나 안전한지 증명할 수 있느냐에 달려 있다"며 "개인정보 보호 역시 같은 기준에서 다시 설계해야 한다"고 밝혔다.

◎공감언론 뉴시스 [email protected]