ETH 취리히 트라메르 교수, “취약점 탐지 자동화, 방어·공격 균형 흔든다…보안 경쟁 ‘가속’”
취리히연방공과대학교 사이버보안 전문가 플로리안 트라메르 교수(사진:ETH Zurich)
취리히연방공과대학교 사이버보안 전문가 플로리안 트라메르 교수(사진:ETH Zurich)
앤트로픽(Anthropic)이 최근 공개한 차세대 인공지능(AI) 모델 ‘클로드 미토스(Claude Mythos Preview)’가 사이버보안 지형을 뒤흔들고 있다. 소프트웨어의 취약점을 스스로 찾아내고 일부는 악용 가능성까지 제시하는 이 모델은, 보안 방어와 공격 간 균형을 근본적으로 재편할 수 있다는 평가를 받고 있다.
스위스 취리히 연방 공과대학교(ETH Zurich)의 사이버보안 전문가 플로리안 트라메르(Florian Tramèr) 교수는 지난 14일, ETH 인터뷰를 통해 “클로드 미토스는 기존 대형언어모델의 진화형으로, 코드 이해 및 생성 능력이 크게 향상되면서 소프트웨어의 버그와 보안 취약점을 훨씬 효과적으로 찾아낼 수 있다”고 설명했다.
“코드 주면 취약점 자동 탐지”...전문가 영역 무너진다
클로드 미토스의 핵심은 방대한 소스코드를 입력받아 “보안 취약점을 찾아라”는 간단한 지시만으로도 실제 취약점을 식별할 수 있다는 점이다. 기존에는 고도로 숙련된 보안 전문가나 복잡한 도구가 필요했던 작업이 AI에 의해 자동화되는 것이다.
트래머 교수는 “이전 모델인 클로드 오푸스 4.6(Claude Opus 4.6)도 리눅스(Linux) 운영체제나 파이어폭스(Firefox) 같은 복잡한 소프트웨어에서 다수의 보안 결함을 찾아냈다”며, “클로드 미토스는 여기서 한 단계 더 나아간 것으로 보인다”고 평가했다.
“사이버 공격 문턱 낮춘다”...해커 역량 ‘비약적 확대’
문제는 이러한 기술이 공격자에게도 동일하게 활용될 수 있다는 점이다. 트래머 교수는 “이제 해커 한 명이 수천 가지 공격 시나리오를 시도할 수 있다”며 “하나가 실패하면 즉시 다른 방법을 시도하는 식으로 공격 효율이 급격히 증가한다”고 지적했다.
특히 모델 비용이 낮아지고 접근성이 확대될 경우, 기업·정부기관·개인 모두 사이버 공격 위험에 더 크게 노출될 수 있다는 우려가 제기된다.
다만 그는 “클로드 미토스를 ‘사이버 무기’로 단정하기는 어렵다”며, “취약점 발견에서 실제 공격까지는 여전히 높은 전문성이 필요하다”고 선을 그었다. 그러나 동시에 “경험이 부족한 공격자도 이전보다 훨씬 강력한 공격을 수행할 수 있다는 점이 핵심 위험”이라고 강조했다.
“보안 강화 vs 취약점 폭증”...양날의 검
AI 기반 보안 기술이 방어 측에 유리할지, 공격 측에 유리할지는 아직 불확실하다. 이상적인 시나리오는 AI가 취약점을 선제적으로 발견해 소프트웨어 보안을 강화하는 것이다.
하지만 반대로, 발견되는 취약점의 양이 폭증하면서 이를 모두 대응하지 못하는 상황도 가능하다. 특히 많은 사용자와 조직이 소프트웨어 업데이트를 제때 적용하지 않는 현실은 더 큰 리스크로 작용한다.
트래머 교수는 “취약점은 패치를 통해 해결되지만, 업데이트가 지연되면 대규모 공격에 노출될 수 있다”며, “취약점 탐지 능력 증가가 오히려 공격 기회를 확대할 수 있다”고 설명했다.
앤트로픽은 클로드 미토스를 ‘사이버보안의 양자 도약(quantum leap)’으로 평가했지만, 이에 대한 판단은 아직 이르다는 분석이다. 현재 발견된 취약점 상당수가 공개되지 않은 상태이기 때문이다.
또한 앤트로픽은 해당 모델을 일반에 공개하지 않고 일부 보안 전문가와 파트너 기업에만 제한적으로 제공하고 있다. 이는 모델의 실제 위험성과 활용 가능성을 평가하기 위한 조치로 해석된다. 트래머 교수는 “이러한 상황에서는 제한적 공개가 합리적일 수 있다”며, “위험이 관리 가능하다고 판단되면 향후 공개될 가능성도 있다”고 말했다.
한편, 클로드 미토스 접근 권한이 미국 기술 기업 중심으로 제한될 경우, AI 보안 분야에서 미국의 패권이 강화될 수 있다는 지적도 나온다. 트래머 교수는 “이 모델은 국가 안보, 정보기관, 군사 영역과도 연결될 수 있는 기술”이라며, “특정 국가에 접근이 집중될 경우 기술 격차가 발생할 수 있다”고 경고했다. 다만 “AI 분야 특성상 경쟁 모델과 오픈소스가 빠르게 따라잡는 경향도 존재한다”고 덧붙였다.
클로드 미토스는 사이버보안을 완전히 대체하는 기술은 아니지만, 보안의 방식 자체를 변화시키는 신호로 평가된다. 앞으로 보안 전문가들은 개별 코드 분석보다 시스템 구조와 설계 중심으로 역할이 이동할 가능성이 크다.
트래머 교수는 “AI는 보안을 점검하는 여러 도구 중 하나가 될 것”이라며 “버그를 더 많이 찾는 동시에 더 많은 소프트웨어가 생성되면서, 결국 ‘공격과 방어의 경쟁’은 더욱 치열해질 것”이라고 전망했다.
AI가 사이버보안의 판도를 바꾸는 핵심 변수로 부상한 가운데, 그는 마지막으로 “기본적인 보안 수칙은 여전히 중요하다”며 정기적인 소프트웨어 업데이트, 접근 권한 관리, 출처 불명 프로그램 설치 금지 등을 강조했다.
정한영 기자 hyjung@aitimes.kr
https://www.aitimes.kr/news/articleView.html?idxno=39612