20년 숨은 결함, AI가 1분 만에 찾았다…미토스 쇼크에 K-보안도 출렁

[서울=뉴시스] 신효령 기자 = # 지난주 금요일 미국 나스닥 시장은 그야말로 '디지털 아포칼립스'였다. 크라우드스트라이크, 팔로알토 네트웍스 등 세계적인 보안 공룡들의 주가가 일제히 급락했다.

앤트로픽이 내놓은 인공지능(AI) 보안 에이전트 '미토스(Mythos)' 때문이다. 미토스는 기존 보안 시스템이 수십 년간 "이상 없음"을 외쳤던 글로벌 소프트웨어의 핵심 코드에서 20년 넘게 숨어 있던 치명적 결함을 단 몇 분 만에 낱낱이 찾아냈다.

이 소식이 전해지자 시장은 얼어붙었다. "우리가 매달 수십억 원을 내며 믿었던 보안 장벽이 사실은 구멍 뚫린 그물이었다"는 공포가 전 세계 기업들을 덮친 것이다. 업계의 시선은 한국으로 향한다. K보안은 '미토스 쇼크'에서 안전할까.

이번 사태가 단순히 기술적 이슈를 넘어 시장 전반의 패닉으로 번진 이유는 미토스가 보여준 가공할 만한 파괴적 잠재력에 있다.

그동안 보안은 '창과 방패'의 싸움이었다. 인간 해커가 공격하면 인간 엔지니어가 막는 식이었다. 하지만 미토스는 이 문법을 파괴했다. 미토스는 단순히 패턴을 분석하는 수준을 넘어, SW 논리 구조를 추론해 인간이 상상조차 못한 경로로 침투 경로를 찾아낸다.

세계에서 가장 강력한 보안성을 자랑하는 운영체제 '오픈BSD(OpenBSD)'의 보안 취약점도 미토스가 찾아냈다. 미토스는 1998년부터 무려 27년 동안이나 숨어 있던 핵심 결함을 단 1분 내외의 시간에 적발해냈다. 지난 27년간 수많은 천재 개발자와 보안 시스템이 검토했음에도 발견하지 못했던 이 결함을 찾아내는 데 든 비용은 단돈 50달러(약 7만원) 미만이었다.

이 소식이 전해지면서 미국 정부도 발칵 뒤집혔다. 스콧 베센트 미 재무장관 주재로 열린 비공개 긴급 대책 회의가 열렸다. 이 자리에는 구글, 마이크로소프트(MS) 등 빅테크 경영진은 물론 씨티그룹, 모건스탠리, 뱅크오브아메리카 등의 금융 리더들이 대거 소집됐다. 회의의 핵심 안건은 미토스의 분석 결과에 따른 국가 안보 체계의 재점검이었다.

회의에 참석한 한 관계자는 "우리가 믿었던 보안 시스템이 사실상 무용지물이었다는 사실에 모두가 충격을 금치 못했다"고 현장의 분위기를 전했다. 미 백악관은 션 케언크로스 국가사이버국장을 사령탑으로 세우고 범정부 부처와 민간 기업이 참여하는 '사이버 방어막 구축' 작업에 착수했다.

이는 AI가 금융 전산망이나 국가 기간 통신망을 마비시키는 최악의 시나리오를 막기 위한 선제적 조치다. 단순히 사고를 수습하는 차원을 넘어, AI가 생성한 악성 코드를 실시간으로 탐지하고 차단하는 차세대 보안 표준 마련에 국가적 역량을 총동원하기 시작한 것이다.

미국 CBS는 미토스에 대해 "현존하는 거의 모든 주요 시스템에서 취약점을 찾아낼 수 있는 수준"이라며 그 위험성을 경고했다. 월스트리트저널(WSJ)에 따르면, 미토스는 단순한 코드 분석기가 아니라 스스로 가설을 세우고 공격 경로를 설계하는 심층 추론 에이전트다. 기존 보안 툴이 잡아내지 못한 논리적 모순을 기계적 속도로 파고드는 능력을 갖췄다.

전문가들은 "미토스의 등장은 기존 보안 기업들이 내세웠던 ‘완전 방어’의 신화가 붕괴했음을 의미한다"고 분석하고 있다.

국내 보안 산업계에도 비상이 걸렸다. 전문가들은 공공기관과 대기업을 중심으로 한 국내 보안 체계가 여전히 노후화된 레거시 환경에 머물러 있어, 변화에 취약할 수 있다고 지적한다.

현재 국내 보안 기업 상당수는 사전에 정해진 규칙에 따라 위협을 탐지하는 전통적인 방식에 의존하고 있다. 문제는 이러한 체계가 새로운 형태의 위협에 유연하게 대응하기 어렵다는 점이다. 특히 인프라 노후화가 약점으로 꼽힌다. 공공기관을 포함한 국내 주요 시스템 상당수가 10~20년 전 설계된 구조를 기반으로 운영되고 있어, AI 기반 분석 환경과 괴리가 크다는 지적이다.

업계에서는 "수십 년간 숨겨진 취약점을 찾아내는 AI 기술이 등장한 상황에서, 기존 시스템은 예상치 못한 위험에 노출될 수 있다"는 우려가 나온다.

글로벌 보안 기업들과의 기술 격차도 벽이다. 글벌 빅테크 기업들이 막대한 투자를 통해 AI 보안 기술을 고도화하는 반면, 국내 업체들은 상대적으로 제한된 자원 속에서 경쟁해야 하는 상황이다. 이로 인해 기술 격차가 더욱 벌어질 수 있다는 전망도 제기된다.

역설적으로 이번 쇼크는 국내 보안 산업의 체질 개선을 앞당기는 '충격 요법'이 될 수 있다는 진단도 있다. 전문가들은 단순한 보안 솔루션이 아닌, 시스템 설계 단계부터 AI를 중심으로 재설계하는 'AI 네이티브' 전환을 서둘러야 한다고 조언한다.

김태진 라온시큐어 최고기술책임자(CTO)는 "미토스가 보안의 중심축을 취약점 대응에서 신원과 권한 통제로 이동시키며, AI까지 포함한 모든 디지털 주체를 관리하는 보안 체계가 이제 기업의 핵심 경쟁력이 될 것"이라며 "단기적으로는 위협 요인으로 인식될 수 있으나, AI 기반 공격 대응의 중요성이 커지면서 보안 수요는 오히려 확대되는 방향으로 시장이 재편되고 있다. 에이전틱 AI 관리 체계(AAIM)와 AI 가드레일을 고도화해 새로운 영역에서 승부를 걸어야 한다"고 말했다.

이글루코퍼레이션 관계자는 "미토스의 등장은 보안 기술의 패러다임이 '자율'로 전환되는 속도를 가속화할 전망"이라며 "이제 보안 조직은 단일 취약점을 찾아내는 수준을 넘어, 복합적인 공격 경로를 실시간으로 파악하고 자율적인 대응 시나리오를 가동하는 '에이전틱 SOC(Agentic SOC)' 구현 역량으로 기술적 리더십을 입증해야 할 것"이라고 말했다.

정부 역시 이번 사태를 엄중하게 받아들이고 있다. 과학기술정보통신부 관계자는 "미토스뿐만 아니라 오픈AI가 개발 중인 차세대 보안 모델 '스퍼드(Spud)' 등 거대 AI 보안 모델의 등장을 예의주시하고 있다"며 "AI가 제공하는 보안 서비스의 순기능을 극대화하고 역기능을 차단하기 위한 국가 차원의 정책적 대응 가이드라인을 마련할 것"이라고 말했다.

◎공감언론 뉴시스 snow@newsis.com

Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지