코스피

8,463.45

  • 259.61
  • 3.16%
코스닥

907.79

  • 16.27
  • 1.83%
고객센터1599-0700 월-금 08:00~23:00, 일 12:30~22:30
토·공휴일 10:00~15:00
Copyright ⓒ 한국경제TV. All Rights Reserved. 무단전재 및 재배포 금지
1/2

[AI픽] 공공기관 AI 도입 '보안 준비' 됐나…미토스 시대 경고음

입력 2026-06-24 11:54
페이스북 노출 0

핀(구독)!


뉴스 듣기-

지금 보시는 뉴스를 읽어드립니다.

이동 통신망을 이용하여 음성을 재생하면 별도의 데이터 통화료가 부과될 수 있습니다.

[AI픽] 공공기관 AI 도입 '보안 준비' 됐나…미토스 시대 경고음

주요 기사

    글자 크기 설정

    번역-

    G언어 선택

    • 한국어
    • 영어
    • 일본어
    • 중국어(간체)
    • 중국어(번체)
    • 베트남어
    [AI픽] 공공기관 AI 도입 '보안 준비' 됐나…미토스 시대 경고음
    취약점 악용까지 8시간인데…공공기관 패치 주기와 간극
    글래스윙 가입도 양날의 검…"내부 코드 미국 서버 전송 우려"


    (서울=연합뉴스) 권하영 기자 = 공공기관의 인공지능(AI) 도입이 빠르게 확산하는 반면, 보안 대비는 크게 뒤처져 있다는 경고가 제기됐다.
    취약점 발견 후 실제 공격에 악용되기까지 평균 8시간에 불과한 지금, 연 1~2회에 그치는 공공기관의 패치 주기로는 사실상 대응이 불가능하다는 지적이다.
    이상근 고려대학교 AI보안연구소장은 24일 일산 킨텍스에서 열린 '2026 공공 AI 박람회' 부대행사 '2026년 상반기 지능정보화책임관(CIO)협의회'에서 이 같이 역설했다.
    이 소장은 "2018년에는 취약점이 공개된 후 실제 공격이 발생하기까지 평균 2~3년이 걸렸지만, 현재는 8시간으로 줄었다"며 "취약점이 발견되고 나서 8시간 안에 패치를 하지 않으면 시스템이 뚫릴 수도 있다"고 우려했다.


    ◇ "초보자도 미토스로 침투 가능"…보안 문턱 낮아진다
    이 소장은 앤트로픽의 최신 AI 모델 '미토스'가 기존 AI와 근본적으로 다른 점으로 '익스플로잇 자동화'를 꼽았다. 취약점의 존재를 탐지하는 것은 기존 AI도 가능하지만, 미토스는 해당 취약점을 실제로 파고드는 공격 코드까지 스스로 만들어낼 수 있다는 것이다.
    실제로 중국 국가 후원 해킹 그룹 'GTG-1002'가 앤트로픽 AI를 활용해 정찰부터 취약점 탐색, 익스플로잇 생성, 내부 이동, 자산 탈취까지 해킹 전 단계의 80~90%를 자동화한 사례가 지난해 보고됐다.
    공격 속도만이 문제는 아니다. 국내 기업들이 보안 패치의 기준으로 삼아온 미국 국립표준기술연구소(NIST)의 국가취약성데이터베이스(NVD)도 사실상 제 기능을 잃어가고 있다는 경고다.
    이 소장은 "전 세계적으로 생산되는 코드 양이 폭증하면서 NIST가 인력으로 취약점을 일일이 분석하는 것이 불가능해졌다"며 "올해 3월 밀린 2만9천여 건에 대해 사실상 포기 선언을 하고, 미국 행정부가 사용하는 소프트웨어 중심으로만 분석하겠다고 방향을 바꿨다"고 설명했다.
    이어 "국내 기업들은 패치 제작 시 NVD 정보에 거의 전적으로 의존해왔는데, 이제는 독자적인 취약점 데이터베이스 구축이 불가피한 상황이 됐다"고 덧붙였다.

    ◇ 글래스윙 가입도 '양날의 검'…"정밀한 접근 필요"
    이 소장은 정부가 참여를 추진 중인 앤트로픽의 글로벌 AI 보안 연합체 '프로젝트 글래스윙'에 대해서도 신중론을 폈다.
    미토스를 검증된 기관에 제한적으로 제공해 소프트웨어 취약점을 선제적으로 방어하는 구조지만, 참여 기관의 분석 데이터가 미국 서버로 넘어간다는 점이 또 다른 위험 요인이 될 수 있다는 것이다.
    그는 "글래스윙에 포함된 기업들은 앤트로픽 AI를 무상으로 쓰는 대신 분석 데이터가 30일간 미국 서버에 보관된다"며 "기관 내부의 코드나 지적 재산, 운영 관련 정보 등이 미국 서버로 넘어가 AI 학습에 활용될 수 있다는 점에서 정밀한 접근이 필요하다"고 말했다.
    아울러 최근 미국의 수출통제로 미토스 접근 자체가 막혀 있는 현 상황에서, 설령 글래스윙에 합류하더라도 실제 활용이 가능할지는 별개의 문제라는 점도 짚었다.


    ◇ "AI 보안 인력 100배 필요"…한국형 독자 체계 시급
    이런 가운데 국내 보안 대응 역량은 구조적 한계에 봉착해 있다.
    이 소장은 "최소 지금의 100배 이상 사이버 보안 인력이 필요하다"고 단언하며, 미토스나 오픈AI의 'GPT 5.5-사이버' 같은 단일 외산 모델에 의존하는 방식만으로는 한계가 명확하다고 강조했다.
    대안으로는 여러 AI가 협력해 취약점을 탐지하고 자동으로 패치하는 '멀티에이전트 스캐폴드' 방식을 제시했다.
    그는 중국 오픈소스 AI 모델들이 코딩 성능에서 미국 모델에 필적하는 수준으로 급부상하고 있다는 점도 언급하며 "미국이 갑자기 토큰 비용을 10배 올리면 기업들은 결국 저렴한 중국 모델로 이전하게 된다"고 경계했다.
    이 소장은 "AI가 사이버 역량으로서 국가 전략 자산화되는 상황에서 외산 모델과의 협력은 이어가되, 이것이 모든 문제의 해결책은 아니라는 점을 명확히 해야 한다"고 말했다.
    한편 이날 협의회에서는 미토스 위협 대응 외에 AI 시대 공공데이터 정책 개선 방향과 국정자원 시스템 민간 클라우드 이전 방안도 논의됐다.
    행정안전부는 공공데이터 거버넌스 체계 강화와 AI 친화적 데이터 관리 원칙 수립 방향을 공유하고, 내년까지 국정자원 운영 시스템 250개를 민간 클라우드로 전환 지원하는 계획을 밝혔다.
    kwonhy@yna.co.kr
    (끝)

    <저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>





    AI픽 공공기관 취약점 와우넷 오늘장전략
    1/2
    한경지면 구독신청

    실시간 관련뉴스