[지디넷코리아]
사이버보안 취약점을 공격하는 능력이 뛰어나 ‘보안 핵폭탄’으로 지목되고 있는 인공지능(AI) 기업 앤트로픽의 새 AI 모델 ‘클로드 미토스(Claude Mythos, 일명 미토스)’의 프리뷰 버전에 권한이 없는 사람 몇 명이 무단으로 접속한 ‘사고’가 발생, 회사 측이 21일(현지시간) 조사에 착수했다고 파이낸셜타임즈(FT) 등 외신이 보도했다. 근래 한달만에 일어난 앤트로픽의 세번째 보안 사고다.
특히 이번 사고는 제3의 협력업체를 일컫는 ‘서드파티 기업(third-party companies)’를 통해 일어나 공급망 보안에도 새로운 환기를 불러일으켰다.
기업 가치가 3800억 달러인 미국 AI스타트업 앤트로픽은 지난 7일 ‘미토스’를 프리뷰 버전으로 발표했다. ‘미토스’는 사람이 지난 27년간 발견하지 못한 보안 취약점을 발견하는 등 가공할 보안 취약점 탐지 능력 때문에 찬사와 우려를 동시에 받았다. 이에, 앤트로픽은 아마존, 마이크로소프트, 애플,시스코,크라우드스트라이크 등 12개 기업과 약 40곳의 협력기업에게 ‘파토스’ 주요 기능을 전달, 패치(보안 취약점 보완 제품)를 만들 것을 주문한 바 있다. 공개 명단에는 포함되지 않았지만 미국 국방부 산하 정보기관 국가안보국(NSA)도 비공개로 참여중인 것으로 알려졌다.
‘미토스’ 모델이 인간 능력을 넘어서는 속도와 규모로 사이버 공격에 악용될 가능성이 있어 일부 신뢰된 기술기업들에만 제한적으로 제공한 것이다. 실제 보안 전문가들은 ‘ 미토스’가 해커들의 손에 들어갈 경우 공격 대상 조직이 수정하는 속도보다 더 빠르게 해커들이 버그를 악용할 수 있다고 경고해 왔다.
그런데 이번에 외부 침입자가 앤트로픽의 제3자 협력업체(서드파티)를 신원을 악용, ‘미토스’에 무단 접근한 정황이 발견됐다. 이에 대해 앤트로픽은 “우리의 서드파티 벤더 중 하나를 통해 클로드 미토스 프리뷰(Claude Mythos Preview)에 대한 무단 접속이 이뤄졌다는 언론보도를 조사하고 있다”면서 “우리 서드파티가 모델 개발을 위해 시스템에 접근한 환경 외에는 아직 활동이 포착된 바 없다”고 밝혔다. 관련 언론보도는 경제전문 미디어 블룸버그가 가장 먼저 했다.
앞서 앤트로픽은 이달초 자사 직원 실수로 자사 클로드 소스코드가 외부로 유출되는 대형사고도 겪었다.
당시 엔트로픽 직원은 깃 허브를 통해 클로드 코드를 배포하는 과정에서 실수로 암호화한 코드를 복원할 수 있는 소스 맵 파일을 같이 배포했다. 이로 인해 클로드 코드 소스 51만 2천줄과 1900개 파일이 노출됐다. 클로드코드가 어떻게 구현되고 설계됐는지를 경쟁사들이 모두 확인할 수 있게 한 것이다.
또 지난 3월에는 모델의 이름을 포함한 일부 설명 정보가 공개 접근 가능한 데이터 캐시에서 발견되는 사건도 발생, 당시 회사는 이를 인적 오류 때문이라고 설명했다.
여기에 제3의 협력사를 통한 외부 침입자 유출까지 터져 안트로픽의 보안 체계 자체에 문제가 있음을 세계에 다시한번 노출시켰다.