[이데일리 김현아 기자] 인공지능(AI)이 사이버 보안의 패러다임을 바꾸고 있다. 글로벌 빅테크들은 AI를 활용해 대규모 취약점을 찾아내고 있으며, 정부 역시 AI 기반 공격·방어 실험에 본격 착수했다. 공격과 방어 모두 AI 중심으로 재편되면서 보안 산업이 사실상 ‘AI 대 AI’ 경쟁 국면에 진입했다는 평가가 나온다.

[이데일리 김일환 기자]

파이어폭스, ‘미토스’로 271건 취약점 한꺼번에 찾아냈다

모질라(Mozilla)는 최근 앤스로픽(Anthropic)의 보안 특화 AI 모델 ‘클로드 미토스 프리뷰(Claude Mythos Preview)’를 활용해 웹브라우저 파이어폭스(Firefox)의 보안 취약점 271건을 찾아내고 수정했다고 밝혔다. 이 가운데 일부는 15~20년 동안 잠복해 있던 고위험 버그였다.

특히 AI가 단순 코드 리뷰를 넘어 실제 공격 시나리오를 설계하고, 테스트 코드를 생성·실행해 취약점을 재현하는 ‘에이전트형(agentic) 보안 분석’ 방식이 적용됐다는 점이 주목된다.

업계에서는 모질라가 앤스로픽의 보안 협력 프로젝트인 ‘글래스윙(Project Glasswing)’ 수준의 접근 권한을 확보한 것으로 보고 있다. ‘클로드 미토스 프리뷰’는 현재 일반에 공개되지 않은 보안 특화 모델이기 때문이다.

모질라는 초기 GPT-4와 ‘클로드 소네트 3.5(Claude Sonnet 3.5)’ 기반 분석에서는 허위 양성(false positive)이 많았지만, 이후 ‘클로드 오퍼스(Claude Opus)’ 기반 실험과 미토스 적용을 거치며 탐지 성능이 크게 향상됐다고 설명했다.

성과도 급증했다. 파이어폭스의 월간 취약점 수정 건수는 지난해 4월 31건에서 올해 4월 423건으로 늘었다. 이 가운데 271건이 미토스 기반 분석 과정에서 발견됐다.

발견된 취약점에는 HTML·XSLT 관련 장기 잠복 버그를 비롯해 샌드박스 탈출(sandbox escape), 권한 상승, 메모리 오버플로우 등 고위험 취약점이 포함됐다.

정부도 AI 해킹 실험…“공격 속도 상상 이상”

정부도 AI 기반 사이버 공격 위협을 현실적인 문제로 보기 시작했다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 최근 ‘클로드 오퍼스 4.7(Claude Opus 4.7)’을 활용한 모의 침투 테스트를 진행해 7건의 취약점을 확인했다. 테스트에서는 AI가 인증 우회와 계정 탈취 등 공격 시나리오를 단시간 내 수행했으며, 숙련된 보안 인력이 프롬프트를 설계할 경우 공격 성능이 크게 높아지고, 전문 해커가 수일 걸릴 작업을 AI가 10여 분 만에 수행한 사례도 나온 것으로 알려졌다.

배경훈 과기정통부 장관은 최근 페이스북에서 “AI 시대의 보안 문제는 단순한 기술 이슈가 아니라 국민의 일상과 국가 핵심 인프라를 지키기 위한 새로운 국가적 과제”라고 밝혔다. 이어 “중요한 것은 기술 자체를 두려워하는 것이 아니라 얼마나 빠르고 체계적으로 대비하느냐”라며 “AI 보안 주권을 준비해야 한다”고 강조했다.

단기 대응 넘어 독자 모델 기반 보안 AI 추진

정부는 단기적으로 기업 보안 대응 체계 강화에 나선다. CISO(정보보호최고책임자)와 CEO 책임을 포함한 보안 행동강령을 배포했으며, AI 공격의 속도전에 대응하기 위해 즉각 패치가 가능한 SaaS(서비스형소프트웨어)기반 보안 솔루션 확대도 추진한다.

중장기적으로는 해외 빅테크 의존도를 낮추고, 국내 독자 AI 파운데이션 모델 기반의 ‘보안 특화 AI’ 개발을 추진할 계획이다. 정부는 오는 11일 앤스로픽과 관련 논의를 진행하고, 글래스윙 프로젝트 참여도 추진 중이다.

보안 패러다임 역시 ‘완벽 방어’에서 ‘신속 복구’ 중심으로 바뀌고 있다. 배경훈 과기정통부 장관은 “제로트러스트와 회복 탄력성 중심으로 보안 체계를 전환해야 한다”고 밝혔다. 제로트러스트는 내부망 사용자도 지속적으로 검증하고 최소 권한만 부여해 침투 이후 피해 확산을 줄이는 보안 방식이다.