• 해킹 특화 AI '미토스'의 등장으로 취약점 탐지부터 공격 도구 개발까지 걸리는 시간이 과거 2년 이상에서 단 20시간으로 급감했습니다.
• 공격은 AI를 통해 실시간으로 자동화되는 반면, 방어는 복잡한 보고와 결재 절차를 거쳐야 하는 심각한 '시간의 비대칭성'이 발생하고 있습니다.
• 특히 한국은 국정원 중심의 중앙집중형 보안 거버넌스와 획일적인 망분리 정책으로 인해 실시간 자율 대응이 어려워 구조적으로 훨씬 취약한 상태입니다.

{img}

여러분, 혹시 인공지능이 전문 해커로 돌변한다면 어떤 일이 벌어질지 상상해 보셨나요? 최근 보안 업계를 발칵 뒤집어 놓은 사건이 하나 있습니다. 바로 엔트로픽이 개발한 해킹 특화 AI '미토스'의 내부 문서 유출 사건입니다.

여기서 핵심이 뭐냐면, 이제 해킹 공격은 단 20시간 만에 자동화되는데 우리의 방어 체계는 보고서 쓰고 결재받느라 한세월이 걸린다는 겁니다. 특히 한국은 국정원 중심의 중앙집중형 보안 구조 탓에 이런 변화에 구조적으로 훨씬 취약합니다. 오늘 세상의 모든 지식 언더스탠딩에서는 통념과는 전혀 다른 AI 해킹의 진짜 공포가 무엇인지, 그리고 한국이 왜 더 위험한지 그 본질을 파헤쳐 보겠습니다.

2년 걸리던 해킹, 이제 20시간이면 끝납니다

최근 엔트로픽 내부 직원의 실수로 '카피바라'라는 코드명의 문서가 유출되었습니다. 그 안에는 '미토스'라는 해킹 전문 AI의 존재가 담겨 있었죠. 소문이 무성해지자 엔트로픽은 결국 그 존재를 공식 인정했습니다. 성능이 너무 뛰어나서 전면 공개는 못 하고, 빅테크 등 50개 기업에만 제한적으로 테스트를 허용하는 '프로젝트 글래스윙'을 진행 중이라고 밝혔습니다.

{img}

[출처] 언더스탠딩 : 세상의 모든 지식 제공 영상 · 04:49

놀라운 건 이 AI의 압도적인 속도입니다. 다리에 난 미세한 '균열'을 찾는 것을 보안 용어로 '취약점 탐지'라고 합니다. 과거에는 이 취약점을 찾아내고, 다리를 무너뜨릴 수 있는 '공격 도구(익스플로잇)'를 완성하는 데 평균 2.2년이 걸렸습니다. 그런데 미토스는 이 과정을 단 20시간으로 단축시켰습니다. 인간의 한계를 아득히 초월한 속도로 공격 무기를 찍어내고 있는 셈입니다.

LLM은 어떻게 완벽한 해커가 되었을까?

왜 갑자기 AI가 해킹을 이렇게 잘하게 된 걸까요? 사실 해킹을 자동화하려는 시도는 20년 전부터 있었습니다. 하지만 챗GPT 같은 거대언어모델(LLM)이 등장하면서 차원이 달라졌습니다.

기존의 해킹 프로그램이 단순히 코드를 기계적으로 대조했다면, LLM은 '맥락'과 '논리'를 이해합니다. 전 세계의 취약점 데이터베이스(CVE) 32만 건을 순식간에 읽어치우고, 소프트웨어의 결제 로직에서 '본인 확인 절차가 빠졌다'는 식의 논리적 결함을 스스로 찾아냅니다. 심지어 보안 패치가 발표되면, 업데이트 전후의 코드를 비교해 "아, 이 부분이 취약점이었구나" 하고 스스로 학습까지 합니다. 사람처럼, 아니 사람보다 훨씬 빠르고 집요하게 공부하는 해커가 탄생한 것입니다.

진짜 공포는 '시간의 비대칭성'입니다

기술이 발전했으니 우리도 방어용 AI를 만들어서 맞대응하면 되지 않냐고 생각하시죠? 안타깝게도 현실은 그렇게 단순하지 않습니다. 여기서 우리가 이해해야 할 가장 중요한 개념이 바로 '시간의 비대칭성'입니다.

{img}

[출처] 언더스탠딩 : 세상의 모든 지식 제공 영상 · 36:15

공격하는 AI는 지치지 않고 20시간 내내 취약점을 찾아 미사일을 쏩니다. 반면 방어하는 쪽은 어떨까요? 방어 AI가 취약점을 찾아내더라도 시스템을 즉시 고칠 수 없습니다. 담당자는 보고서를 써서 상사에게 올리고, 치명적인 사안이면 CEO나 이사회까지 거쳐 예산을 승인받아야 합니다. 장비를 사고 솔루션을 배치하는 데 며칠, 몇 달이 걸립니다. 공격은 20시간 만에 끝나는데, 방어는 의사결정 절차에 발목이 잡혀 있는 겁니다. 결국 기술의 싸움이 아니라, 방어 시스템의 '속도와 자율성' 싸움이 된 것입니다.

한국이 구조적으로 더 취약한 이유

이 지점에서 한국의 치명적인 약점이 드러납니다. 우리나라는 공공 및 정부 영역의 사이버 보안을 국가정보원이 사실상 독점 관장하고 있습니다. 금융권 역시 금융위원회의 강력한 통제를 받죠.

현장 실무자가 AI를 이용해 실시간으로 방어 체계를 자동화하고 선조치를 취하려면 막강한 자율권이 필요합니다. 하지만 한국에서는 무엇 하나 바꾸려 해도 국정원의 보안성 심사나 상급 기관의 허락을 받아야 합니다. 정보기관 특유의 폐쇄성 때문에 문서화된 답변을 받기도 어렵고, 절차는 한없이 지연됩니다. 책임을 지지 않으려는 보신주의 탓에 "그냥 인터넷 망을 다 끊어버려라" 식의 획일적인 망분리 정책만 고수하게 됩니다. 코로나19 시절 재택근무를 위해 임시로 망을 연결했다가 정부의 '온나라 시스템'이 해킹당한 사건은 이런 경직된 구조가 낳은 참사였습니다.

결재받다 다 털립니다, 이제는 자율성이 보안입니다

세상은 이미 클라우드와 AI를 활용하는 시대로 넘어갔습니다. 극단적인 쇄국 정책처럼 망을 다 끊어놓고 살 수는 없습니다. 그렇다면 해결책은 무엇일까요?

{img}

[출처] 언더스탠딩 : 세상의 모든 지식 제공 영상 · 47:43

데이터의 중요도를 C(기밀), S(민감), O(공개) 등급으로 철저히 분류해야 합니다. 국가 안보와 직결되는 C등급은 국정원이 강력하게 통제하되, S나 O등급 데이터는 부처나 기업, 일선 실무자에게 자율권을 주어 AI 방어 체계를 유연하게 운영할 수 있도록 거버넌스를 개편해야 합니다. 미국이 국가 기밀은 NSA가 맡고, 일반 데이터는 보안청(CISA)이 관리하며 클라우드 등급을 나누어 대응하는 것처럼 말이죠.

한국의 보안 기술력은 세계적인 수준입니다. 하지만 아무리 뛰어난 방어 AI를 만들어도, 결재 도장 받느라 골든타임을 놓치는 구조라면 무용지물입니다. 보안은 더 이상 기술만의 문제가 아닙니다. 권한을 분산하고 현장에 자율성을 부여하는 제도적 개혁만이 다가오는 'AI 해킹 폭풍'에서 살아남는 유일한 길입니다.

FAQ

미토스 같은 AI는 원래 해킹 공격을 위해 만들어진 건가요?

아닙니다. 원래는 시스템의 보안 취약점을 빠르게 찾아내어 방어력을 높이려는 선의의 목적으로 개발되었습니다. 하지만 이러한 AI는 '이중용도 물자'와 같아서, 어떻게 쓰느냐에 따라 방어 도구가 될 수도 있고 가장 치명적인 해킹 무기로 악용될 수도 있습니다.

인터넷망과 업무망을 완전히 분리하는 '망분리' 정책을 쓰면 안전하지 않나요?

과거에는 인터넷을 물리적으로 끊는 망분리가 확실한 방어책이었습니다. 하지만 AI, 클라우드, 재택근무가 필수인 현대 환경에서는 모든 시스템을 단절시킬 수 없습니다. 무조건적인 망분리만 고집하다가는 오히려 자동화된 방어 AI를 도입할 수 없게 되어, 미토스 같은 고도화된 공격에 무방비로 당할 위험이 큽니다.

한국이 다른 나라보다 AI 해킹에 더 위험한 이유는 무엇인가요?

한국은 국정원과 금융위 등 중앙집중형 기관이 보안 권한을 꽉 쥐고 있는 경직된 구조를 가지고 있습니다. AI 해킹은 20시간 만에 실시간으로 이루어지는데, 우리는 방어를 위해 일일이 보고하고 결재를 받아야 합니다. 이 극심한 '시간의 비대칭성'과 현장의 자율성 부족이 가장 큰 약점입니다.

본 콘텐츠는 채널 발행인의 원본 영상을 기반으로 이글루스 AI가 편집·정리한 콘텐츠입니다.해당 콘텐츠는 제휴 또는 이용 허락을 기반으로 제공되며, 원본 저작권은 채널 발행인에게 있습니다.