앤트로픽의 ‘미토스(Mythos)’ 등 고성능 인공지능(AI) 모델이 해킹 등 사이버 보안 침해에 악용될 수 있다는 우려가 커지자 한국 정부도 비상이 걸렸다. 전문가들은 AI 발달로 사이버 보안의 패러다임 자체가 바뀐 만큼 공공·민간 차원의 대응체계 전반을 손질해야 한다고 제언했다.

과학기술정보통신부는 15일 국내 정보보호 기업·협회 대표 및 주요 기업 40곳의 정보보호최고책임자(CISO)들과 각각 회의를 열고 AI 사이버 보안 대비태세를 점검했다고 밝혔다. 전날 통신 3사와 네이버·카카오·쿠팡 등 주요 플랫폼 기업들과 회의를 개최한 데 이어 범위를 넓힌 것이다.

이날 회의에서 업계는 기업의 인식 변화와 정부의 적극적인 대응을 주문했다. 김진수 한국정보보호산업협회장은 “제로 트러스트 보안체계가 기업과 각 기관에 확립되어 있어야 한다”고 말했다. ‘제로 트러스트’는 시스템에 접속하는 어떤 사용자·기기도 신뢰하지 않고 지속적으로 검증하는 보안 원칙을 말한다. 정부가 소프트웨어(SW) 공급망 보안을 강화하고, 위험에 노출된 중소기업들의 보안 격차 해소에 나서야 한다는 목소리도 나왔다.

앤트로픽이 일부 기업에만 제한적으로 공개한 미토스는 전례 없는 속도로 보안상 결함을 탐지하는 능력을 갖췄다는 평가를 받는다. 이러한 AI를 활용한 공격 코드 생성까지 빠르게 진행될 경우 사이버 보안 위협이 커질 수 있다.

클라우드보안연합(CSA)은 지난 12일(현지시간) 보고서에서 미토스의 등장과 관련해 “AI의 취약점 발견 속도가 획기적으로 높아졌지만 방어자들은 아직 그 속도에 맞춰 대응하지 못하고 있다”며 “공격자가 점한 비대칭적 우위를 해결해야 한다”고 강조했다. 오픈AI도 14일 보안 전용 모델 ‘GPT-5.4 사이버’를 보안 전문가들에게만 우선 공개하기로 했다.

금융당국의 경각심도 높아지고 있다. 촘촘히 연결된 글로벌 결제·송금 네트워크의 특성상, 미토스가 취약한 특정 지점을 찾아내 침투하는 데 악용된다면 전체 시스템이 위험에 노출될 수 있다. 금융기관의 보안사고는 최악의 경우 대규모 예금 인출 사태(뱅크런) 같은 유동성 위기로 전이될 수 있다.

금융위원회는 이날 권대영 부위원장 주재로 금융감독원, 금융보안원, 은행·보험권 정보보호최고책임자 등을 불러 긴급 현안점검회의를 가졌다. 금융위 관계자는 “AI 관련 해킹 위협이 강화되고 있다는 문제의식은 과거부터 있어왔으나, (미토스 등장으로) 본격적으로 이슈화되면서 개별 금융사들의 준비 및 대응 상황을 공유하기 위해 모인 자리”라고 말했다.

AI 기반 사이버 보안 위협이 현실화함에 따라 대응 태세를 전반적으로 바꿔야 한다는 지적이 나온다.

김승주 고려대 정보보호대학원 교수는 “기술에는 기술로 대응한다는 논리처럼 AI를 활용한 방어체계 마련도 중요하겠지만, 무엇보다 조직 차원의 사이버 보안 대응 프로세스를 획기적으로 바꾸는 것이 우선”이라고 말했다. 취약점 탐지부터 공격까지의 시간이 급격히 단축된 상황에서 기업들이 신속한 의사결정 구조를 갖춰야 한다는 의미다.

김 교수는 또 AI 시대에 국가정보원 주도로 진행되는 공공 영역의 현행 사이버 보안 대응체계는 한계가 있다면서 “사이버안전청 설립 등을 통해 공공 영역에서의 사이버 보안 대응 거버넌스를 개혁할 필요가 있다”고 했다.

염흥열 순천향대 정보보호학과 명예교수는 국내 기업이 미토스 접근권 확보 등을 통해 실제 역량을 파악할 필요가 있다면서 “민간 채널이나 한·미 당국 간 사이버 협력 채널 등을 활용한 한·미 공조도 검토해야 한다”고 말했다.