[지디넷코리아]
배경훈 과기정통부 장관 겸 부총리가 세계적으로 논란이 되고 있는 보안특화 AI ‘미토스(Mythos)’에 대해 28일 오전 페이스북에서 우리나라도 공개 가능한 범위 안에서 성능을 테스트해봤다고 공개하며 “AI가 이제 보안의 규칙을 바꾸고 있다”고 진단했다.
‘미토스’는 전세계 개발자들이 가장 많이 쓰는 AI인 ‘클로드’를 개발한 미국 앤트로픽이 개발해 지난 7일 공개한 사이버 보안 특화 AI다. 앤트로픽은 “보안 기능이 우려스럽다”며 일반에 제공하지 않고 대신 MS,아마존,시스코 등 미국 테크기업과 금융기업, 기관 등 약 40여 곳에만 제한적으로 제공했다.
배 부총리는 최근 앤트로픽의 ‘미토스 프리뷰’에 어떻게 대응할 것이냐는 질문을 자주 받는다면서 “이제 AI는 사이버 보안의 보조 도구를 넘어, 공격과 방어의 규칙 자체를 바꾸는 단계로 들어서고 있다”고 밝혔다.
최근 영국 AI안전연구소(AISI)가 ‘미토스 프리뷰’에 대한 평가 결과를 공개했는데, 부 총리는 이를 언급하며 “아직 제한적으로만 공개된 모델인 만큼 실제 기술 수준을 단정하기는 어렵지만, AISI 평가에서 미토스는 전문가 수준의 CTF 과제에서 73%의 성공률을 보였고, 32단계 기업 네트워크 공격 시뮬레이션을 10회 중 3회 처음부터 끝까지 완료했다. AISI도 이 결과를 “기존 프런티어 모델 대비 사이버 역량이 한 단계 올라간 사례”로 평가했다”고 전했다.
실제로 AISI에 따르면, ‘미토스 프리뷰’는 AISI의 CTF(Capture The Flag) 과제와 다단계 사이버 공격 시뮬레이션으로 성능을 테스트 받았다. 우선, CTF 테스트에서 ‘미토스’는 이전 모델들을 능가했을 뿐 아니라 작년 4월 이전까지 어떤 AI 모델도 해결하지 못한 전문가 수준의 CTF 과제를 73%의 성공률로 수행했다. (아래 도표 참조)
특히 ‘미토스 프리뷰’는 ‘The Last Ones(TLO)’라는 32단계 기업 네트워크 공격 시뮬레이션에서 돋보였다. 이는 실제 사이버 공격 작전을 모사하도록 설계된 환경인데, ‘미토스 프리뷰’만 유일학 32단계 전체 시뮬레이션을 완수했다. 단, 10번 시도해 3번만 성공했다. 전체 평균으로는 32단계 중 22단계를 수행했다. 차선 성능 모델인 Claude Opus 4.6은 평균 16단계를 완료했다.(아래 도표 참고)
AISI는 또 ‘미토스 프리뷰’가 별도 시뮬레이션인 Cooling Tower의 운영기술(OT) 환경에서는 다소 어려움을 겪었고, 다만 이것이 OT 보안 역량 전반의 약점을 의미하는 것은 아니라고 해석했다.
결론적으로 AISI는 “이런 테스트 결과는 정기적인 보안 업데이트, 접근 통제, 포괄적 로그 관리 등 강력한 사이버보안 수칙의 중요성을 다시 보여준다”면서 “National Cyber Security Centre(NCSC)의 권고 사항을 따라 각 기관들이 AI 위협에 대비할 것을 권장했다”고 밝혔다.
배 총리는 우리 정부도 ‘미토스’ 역량을 점검했다고 공개했다. “저희도 공개 가능한 범위 안에서 최신 모델의 사이버 역량을 점검해 보았다. 그 결과, 별도의 고도화된 코딩 없이도 프롬프팅만으로 취약점 탐색과 공격 시나리오 구성이 상당 수준 가능하다는 점을 확인했다. 이는 앞으로 보안 대응 체계가 사람의 수작업과 사후 대응 중심에 머물러서는 안 된다는 분명한 신호”라고 짚었다.
사이버 보안 패러다임이 바뀌고 있다고 지적한 그는 “정부도 이에 맞춰 빠르게 대응하겠다. 단기적으로는 대규모 취약점에 대한 우선순위 대응, 이상 징후 모니터링, 주요 기반시설과 공공 시스템의 보안 점검을 강화하겠다. AI안전연구소를 중심으로 앤트로픽의 Glasswing 프로젝트와 같은 글로벌 협력 참여도 심도 있게 검토하겠다”고 전했다. 또 중장기적으로는 AI로 AI를 방어하는 체계를 구축하고, 제로트러스트 기반 보안 전환을 더욱 속도감 있게 추진하겠다면서 “단순히 막는 보안을 넘어, AI가 취약점을 먼저 찾고, 위험을 예측하며, 공격보다 빠르게 대응하는 보안 체계로 전환해야 한다”고 지적했다.
파운데이션 모델 중요성도 강조했다. 우리나라는 최근 스탠퍼드가 발표한 ‘AI Index 2026’에서 ‘주목할 만한 AI 모델’ 수에서 8개로 보정받으며 세계 3위권으로 평가받았다. 부총리는 “다행스러운 점도 있다. AI 보안 모델의 핵심은 결국 파운데이션 모델의 성능이다. 독자적으로 다룰 수 있는 AI 모델을 보유해야 우리 상황에 맞는 AI 보안 모델과 방어 시스템도 만들 수 있다”면서 “우리가 만들고 있는 독자 AI 모델을 AX 전환과 서비스 혁신에 활용하는 것을 넘어, 이제는 AI 보안 주권을 지키는 핵심 기반으로 키워가겠다. 위기를 기회로 만들 수 있도록 정부가 철저히 준비하고 대응하겠다”고 말했다.