김진수 KISIA 회장 “미토스發 사이버 안보 골든타임… 지금 머리 맞대야” [보안 아웃룩] 작성일 04-27 11 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">보안특별위 외연 확대 ‘K-글래스윙’ 출범 필요 <br>보안 특화 AI 모델 개발·통합 플랫폼 선보여야</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="fsy7T8Tsn7"> <p contents-hash="a333930600a0a111424a67155c3163042ae5534cacc4667729c8628505783255" dmcf-pid="4OWzy6yOdu" dmcf-ptype="general">앤트로픽이 공개한 사이버 보안 특화 인공지능(AI) 에이전트 '미토스'가 국내에 충격을 주고 있다. 미토스는 기존에 사람이 하던 취약점 탐색·분석·검증을 AI가 자율적으로 수행하면서 압도적인 속도와 정확도를 보이는 것으로 알려졌다. 앤트로픽은 미토스가 지금껏 발견하지 못했던 취약점들을 대거 식별해냈다고 밝혔다. 문제는 이 기술이 방어자만 쓰는 게 아니라는 점이다. 악의적으로 활용될 경우 공격자도 동일한 방식으로 취약점을 찾아 공격에 나설 수 있다.</p> <div contents-hash="527fa4ab00fdc6f7df8a4fe3646ad7d3d6db021d920d5c607096d3fc2455b420" dmcf-pid="8IYqWPWILU" dmcf-ptype="general"> 김진수 한국정보보호산업협회(KISIA) 회장은 24일 IT조선과의 인터뷰에서 미토스 사태에 대해 "북한이 미사일을 발사하면 즉각 긴급 안보회의를 여는 것처럼, 미토스도 그에 준하는 국가 차원의 대응이 필요한 사안"이라고 말했다. </div> <figure class="figure_frm origin_fig" contents-hash="3d5ca78dd12c9db075babc254ddbeeb42ff3b8a6b8a304a8d69d077b000b5bb0" data-idxno="441675" data-type="photo" dmcf-pid="6cItObOcLp" dmcf-ptype="figure"> <p class="link_figure"><img alt="김진수 한국정보보호산업협회(KISIA) 회장 / KISIA" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/27/552810-SDi8XcZ/20260427060015076piwv.jpg" data-org-width="600" dmcf-mid="VG063L3GLz" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/27/552810-SDi8XcZ/20260427060015076piwv.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 김진수 한국정보보호산업협회(KISIA) 회장 / KISIA </figcaption> </figure> <p contents-hash="30d3633ef5803a04280bef3ab67a375f9c4fa205fc8c9eb1c3727232f50381c5" dmcf-pid="PkCFIKIkL0" dmcf-ptype="general"><strong>단순 해킹 툴 아니다…전력망·원자력 타깃 되면 '국가 안보 문제'</strong></p> <p contents-hash="cf3c30c96b051a2d4e85fbacbf9e996b1b13cbcb1909996d7db836bd8b9ecabd" dmcf-pid="QEh3C9CEe3" dmcf-ptype="general">미토스가 이전의 보안 위협과 근본적으로 다른 이유는 공격 대상의 범위와 속도에 있다. 지금까지 해커들은 특정 소프트웨어의 코딩 취약점을 찾아 침투하는 방식을 주로 사용했다. 하지만 미토스급 AI는 코딩 취약점뿐 아니라 시스템 설정값, 네트워크 구성, 접근 권한 오류 등 기업마다 제각각인 운영 환경의 허점까지 자동으로 탐색할 수 있다. 취약점 하나를 찾는 데 사람이 며칠 걸리던 작업을 미토스급 성능을 가진 AI는 수분 안에 처리하고, 그 취약점을 파고드는 공격 코드까지 즉시 생성할 수 있다.</p> <p contents-hash="4d73d17f518975ac8441acea9005d1da6bd10455461f71120cc9cd95010ec7c1" dmcf-pid="xDl0h2hDLF" dmcf-ptype="general">특히 이것이 단순한 정보 유출을 넘어 안보 문제가 되는 것은 공격 대상이 민간 기업에 그치지 않기 때문이다. 전력망이 마비되면 의료·금융·통신 전체가 멈춘다. 교통 신호 시스템이 무력화되면 도심 기능이 마비된다. 원자력 발전소 제어 시스템에 침투가 이뤄진다면 그 결과는 재앙적이다. 김 회장은 "AI가 강력해졌다는 수준을 넘어, 이제는 사이버 공격이 물리적 안보 위협과 동급이 됐다"고 말했다. 개별 보안 솔루션 하나로 막을 수 있는 문제가 아니라, AI 보안·공급망 보안·제로 트러스트 등 여러 방어 영역을 통합적으로 운용해야 대응이 가능한 구조가 된 것이다.</p> <p contents-hash="b0a9b244a6710b9008b506962328b0466c4ec88417a4b445fd4e78cb1d6fce59" dmcf-pid="yq8N4O4qit" dmcf-ptype="general"><strong>한 곳만 뚫으면 되는 공격자, 모든 곳을 막아야 하는 방어자</strong></p> <p contents-hash="ff1d7e64c5a599a58198434d8255fb11b551c40dbbd4267daad68844694aecce" dmcf-pid="WB6j8I8BL1" dmcf-ptype="general">미토스 사태에서 가장 심각한 문제는 역설적으로 '취약점을 먼저 발견하면 되는 것 아니냐'는 기대가 실현되기 어렵다는 점이다. 미토스로 발굴된 취약점 정보는 앤트로픽이 구성한 폐쇄형 연합 '프로젝트 글래스윙(Project Glasswing)' 참여 기업들 사이에서만 공유된다. 이 연합에 참여하지 못한 기업이나 국가는 보유한 시스템에 AI가 공략할 수 있는 취약점이 얼마나 존재하는지조차 정확히 파악하기 어려운 상황이다.</p> <p contents-hash="2191b4013f47dc835018a9378ad2690d42b717052e2fd4aacf16f74f8368de88" dmcf-pid="YbPA6C6bL5" dmcf-ptype="general">설령 취약점 정보를 확보한다 해도 현실적인 장벽이 있다. 기업 현장에서 취약점 하나를 패치하려면 담당자 보고, 경영진 승인, 예산 집행, 실제 적용, 시스템 영향 분석까지 최소 수일이 소요된다. 취약점이 동시에 수천 건 쏟아지는 상황이라면 이 프로세스 자체가 무너진다. 이른바 '시간의 비대칭'이다. AI로 무장한 공격자가 취약점을 탐색하고 공격 코드를 생성하는 속도를 사람이 중심인 방어 프로세스가 따라가지 못하는 구조적 불균형이다.</p> <p contents-hash="4055321d31199af5fe9756e58beb66ab7736e6ab871a275b3aee91242eb79cc7" dmcf-pid="GKQcPhPKdZ" dmcf-ptype="general">뿐만 아니라 미토스로 특정 취약점을 발견해 패치를 배포했다 해도, 각 기업의 시스템 환경이 모두 다르기 때문에 완전한 안전을 보장하기는 어렵다. 같은 제품에 같은 패치를 적용했더라도 어떤 솔루션과 조합해 쓰는지, 설정값을 어떻게 잡았는지에 따라 전혀 다른 취약점이 생겨날 수 있다. 공격자는 이런 조합의 허점까지 노리기 때문에 미토스를 활용한 공격 앞에서 모두가 동시에 안전해지는 시나리오는 사실상 기대하기 어렵다.</p> <p contents-hash="9bb03a9566d06d262b13e1171b36e325743815f1199ba27e13ea1a21e34aef19" dmcf-pid="H9xkQlQ9LX" dmcf-ptype="general"><strong>"실제 위험 가늠 어렵지만, 준비 늦출 순 없어"</strong></p> <p contents-hash="d88229fb6e6514fc3c65e3f6feac94b552027f6626474761e34a5ffed532f443" dmcf-pid="X2MExSx2iH" dmcf-ptype="general">김 회장은 지금 이 시기를 보안 골든타임으로 규정했다. 그러나 그 안에 담긴 경고는 더 복잡하다. 미토스는 아직 제한적으로 공개된 상태여서, 실제로 이를 악용한 공격 사례가 확인된 것은 아니다. 이 때문에 국내에서는 지금 시점에서 정확한 위협 수준을 진단하는 것 자체가 어렵고, 이에 대한 명쾌한 해결책을 제시하기도 쉽지 않다.</p> <p contents-hash="c00381e179f455d7fc8c9d548f989343796c9d63018568a09d25dd1a040bb53f" dmcf-pid="ZVRDMvMVJG" dmcf-ptype="general">그럼에도 서둘러야 하는 이유가 있다. AI 모델의 발전 속도를 감안하면 미토스에 필적하거나 이를 넘어서는 모델이 수개월 안에 등장할 수 있다. 실제로 미국과 중국 간 대형 언어모델 성능 격차가 빠르게 좁혀지고 있다는 분석도 나오고 있다. 중국이나 북한이 유사한 수준의 AI를 이미 확보했거나 조만간 확보할 경우, 이를 사이버 무기로 활용할 가능성은 배제할 수 없다. 김 회장은 "우리가 실체를 아직 눈으로 확인하지 못한 채 논의하고 있다는 점에서 더 불안하다"며 "정확히 모르기 때문에 지금 당장 논의를 시작해야 한다"고 말했다.</p> <p contents-hash="71521e67bd50d110f304869d89605ada03c3b387dc5a10ad979f0f98670dbdc6" dmcf-pid="5ZuxUaUZJY" dmcf-ptype="general"><strong>"K-글래스윙 출범 논의, 지금 당장 시작해야"</strong></p> <p contents-hash="385498e63637f09a066d919e6122253f66f92557d98cdf9647c9b20656b68a8b" dmcf-pid="157MuNu5iW" dmcf-ptype="general">김 회장이 제안하는 첫 번째 행동 과제는 분산된 역량을 하나의 워킹 그룹으로 통합하는 것이다. 현재 국가정보원·한국인터넷진흥원(KISA)·금융보안원 등 사이버 보안 담당 주요 기관과 개별 기업의 보안운영센터(SOC)가 각자의 영역에서 별개로 움직이는 구조는 과거의 공격 방식에는 적합했지만 고도화된 AI 위협 앞에서는 한계가 분명하다.</p> <p contents-hash="ca1141d8ea67e640fa0fe54f04e58b9d5369a4b89b56d94d14324a9bd51da5bf" dmcf-pid="t1zR7j71iy" dmcf-ptype="general">이에 김진수 회장은 현재 운영 중인 국가인공지능전략위원회 산하 보안특별위의 외연을 확대해, 국가안보실을 필두로 국가정보원·KISA·금융보안원과 출연연·산업계 등의 사이버 보안 관련 책임 인사가 한 테이블에 모여 논의하는 자리를 서둘러 마련해야 한다고 제언했다. 미국의 프로젝트 글래스윙에 대응하는 한국판 대응 체계, 이른바 'K-글래스윙' 개념이다. 그는 "집단 지성으로 대응 로드맵을 짜야 한다"며 "보안 산업계도 실질적인 의견을 모아 정부·학계와 함께 극복하는 공론의 장을 만들어가도록 노력해야 한다"고 말했다.</p> <p contents-hash="031d80e3b6dad7a91985783f522de771e84194038368a1c4f928a1c7504ee73b" dmcf-pid="FtqezAztRT" dmcf-ptype="general"><strong>제로 트러스트·N2SF, 지금 당장 쌓아야 할 기초 체력</strong></p> <p contents-hash="bc95797810df11f90dbc31f14c491c8608d332a4abef763363b73b631c8e7f06" dmcf-pid="3FBdqcqFnv" dmcf-ptype="general">K-글래스윙과 같은 국가 차원의 대응 체계 논의와 병행해 당장 기업과 공공기관이 실행할 수 있는 과제도 있다. 김 회장은 제로 트러스트, 공급망 보안, 국가망보안체계(N2SF)를 미토스 사태와 별개로 반드시 갖춰야 할 기본기로 꼽았다. 그는 "건물의 골격처럼, 이 기초를 탄탄하게 다지는 것만으로도 사이버 보안 수준은 의미 있게 올라간다"고 말했다.</p> <p contents-hash="076b8c0de1c100cceb8c2ae29934bee0359eb51bdbe813baf07625f4652419a6" dmcf-pid="03bJBkB3dS" dmcf-ptype="general">제로 트러스트는 내·외부 모든 접근을 신뢰하지 않고 매번 검증하는 구조다. 기존 보안이 사무실 출입문을 한 번만 통과하면 내부에서 자유롭게 다닐 수 있는 방식이었다면, 제로 트러스트는 사무실 안에서도 방마다 출입증을 다시 확인하는 개념이다. 공급망 보안은 외부에서 납품받는 소프트웨어 속에 취약점이나 악성코드가 숨어 들어오지 않도록 사전에 검증하는 체계다. N2SF는 기존 물리적 망 분리 대신 데이터 등급에 따라 접근을 통제하는 국가망 보안 프레임워크로, 공공기관의 업무 효율과 보안을 동시에 잡기 위해 도입이 추진되고 있다.</p> <p contents-hash="9ad6c3208635e42631a986714aa99e9e530fbd756580e496f6da8944bdc8d74a" dmcf-pid="p0KibEb0Rl" dmcf-ptype="general">김 회장은 이 모든 체계의 전제 조건으로 자산 식별을 꼽았다. 기관 내에 어떤 서버가 어떤 용도로 운영되는지, 누가 관리 책임을 지는지를 파악하지 못한 상태에서는 어떤 방어 체계를 도입해도 사각지대가 생긴다는 설명이다.</p> <p contents-hash="b4187f3bd7494f3eedd604aff484f725a46cb89aba94aa9d02068720c37ef7ff" dmcf-pid="Up9nKDKpih" dmcf-ptype="general">제로 트러스트와 N2SF의 현장 보급이 기대보다 더딘 이유에 대해서는 "보안의 중요성을 몰라서가 아니다"라고 했다. 정부가 실증 사업을 통해 분위기를 만들어가고 있지만, 정작 수요처인 기업과 공공기관에서 체질 개선이 더디게 이뤄지고 있다는 진단이다. 그는 보안이 경영 판단에서 늘 후순위로 밀리는 구조적 문제를 지적하며, 인식 전환을 위해 정책적 유인과 현장 실증 모델이 함께 제공돼야 한다고 강조했다.</p> <p contents-hash="b8db28f915c6263aabd79e1a068c268b285b3a4252a64ff5b25a98a9c0b0ca0e" dmcf-pid="uU2L9w9URC" dmcf-ptype="general"><strong>보안 특화 AI 개발…연합이 답이다</strong></p> <p contents-hash="0935dac0cd29e227001a68c26114b1332810ce936dfc57542507bee6f95d16a5" dmcf-pid="7uVo2r2uRI" dmcf-ptype="general">중장기 과제로 김 회장은 미토스에 필적하는 보안 특화 AI 개발을 빼놓지 않았다. 정부가 추진 중인 독자 파운데이션 모델을 완성하는 데 그치지 않고, 사이버 보안에 특화된 AI로 발전시켜야 한다는 주장이다. 글로벌 빅테크의 AI에 공공 인프라 운영이 의존하는 구조가 고착되면, 해당 기업이 서비스 조건을 바꾸거나 공급을 제한할 때 대응할 수단이 없어진다. 그는 "통제권이 사라지는 순간 끌려갈 수밖에 없는 처지가 된다"며 독자 보안 AI 확보를 기술 주권의 문제로 봐야 한다고 말했다.</p> <p contents-hash="6543a4082b045f3dee19fb0426a6e772edec84c31dca3f29a01280dcca6ee9a8" dmcf-pid="z7fgVmV7MO" dmcf-ptype="general">국내 보안 기업 차원에서는 연합 방식을 제안했다. 팔로알토네트웍스 같은 글로벌 보안 기업은 단일 플랫폼으로 방화벽부터 엔드포인트 보안, 클라우드 보안까지 전 영역을 커버한다. 국내 기업 하나가 이를 따라가기는 어렵지만, 각 영역에서 경쟁력을 갖춘 기업들이 연합하면 동등한 기능 구현이 가능하다. 김 회장은 "고객은 하나의 대시보드에서 모든 보안을 통제하길 원한다. 그 수요에 맞추려면 각 분야 장인들이 모여 함께 한 상을 차려야 한다"고 말했다.</p> <p contents-hash="a9545f33404824a92059ec127c764528b255095cba0aeb4fcb093e6f8e0bef29" dmcf-pid="qEh3C9CERs" dmcf-ptype="general">정부 AI 예산 중 상당 부분이 사이버 보안 R&D에 매칭 집행돼야 한다는 입장도 거듭 강조했다. AI 개발 환경 자체가 보호되지 않으면, 보안이 빠진 AI 인프라는 결국 또 다른 공격 표면이 된다는 이유에서다. 이밖에 사이버 보안 대응 인력의 소진 문제도 빠뜨릴 수 없는 과제라고 했다. 위협이 고도화될수록 보안 담당자들의 업무 강도가 높아지는데, 인력 관리를 방치하면 아무리 좋은 체계도 사람이 먼저 쓰러진다는 지적이다.</p> <p contents-hash="89ec6dec51ab27b7ca621dc127a2babdb82d35ad02e188a8a8521073226ff764" dmcf-pid="BDl0h2hDRm" dmcf-ptype="general"><strong>"대한민국 보안 기업, 제 가치 인정받는 날 만들겠다"</strong></p> <p contents-hash="48f7a4c26416f9436bc48ea36c4264fd66d7fb8a69ad0ea1b3c034d1513b4cf7" dmcf-pid="bwSplVlwnr" dmcf-ptype="general">올해 2월 취임 이후 두 달여를 보낸 김 회장이 임기 동안 바꾸고자 하는 것은 미토스와 같은 사이버 위협 대응만이 아니다. 핵심 과제 중 하나가 바로 국내 보안 기업들이 처한 시장 구조다. 그는 "기술력에 비해 제대로 된 평가를 받지 못하고 있는 것이 지금의 현실"이라며, '가격 중심 조달 관행 개선'과 '유지보수 정당 대가 확보'를 제도개선협의체를 통해 풀어나갈 과제로 꼽았다. 또한 '해외 수출'과 '정보보호 예산' 모두 임기 안에 지금보다 의미 있게 성장해 있기를 기대한다는 목표도 밝혔다.</p> <p contents-hash="5a70ffd08b570dd4eb82ed0d089ef2d4b4d6dc22be560d7db5b134663bf6b32a" dmcf-pid="KrvUSfSriw" dmcf-ptype="general">김진수 회장은 마지막으로 "전 세계에서 자국 사이버보안을 자국 기술로 지킬 수 있는 나라가 극히 드문데, 대한민국이 그 대열에 있다"며 "사드급은 못 만들어도 천궁급은 만들 수 있는 것처럼, 이 자부심을 지켜내는 것이 한국정보보호산업협회장으로서의 소명"이라고 힘줘 말했다.</p> <p contents-hash="cedfddd6d59188d3e35599fd87d5d56587722a66d3017601531f992fca370138" dmcf-pid="9mTuv4vmeD" dmcf-ptype="general">정종길 기자<br>jk2@chosunbiz.com</p> </section> </div> <p class="" data-translation="true">Copyright © IT조선. 무단전재 및 재배포 금지.</p> 관련자료 이전 이소라 심각했던 대퇴골 골절 사고 “1년 못 걷고 집에서도 휠체어”(소라와 진경) 04-27 다음 “조용하게 강한 RTX 5070” HP 오멘 17 게이밍 노트북 [리뷰] 04-27 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
