앤스로픽 이어 오픈AI도 ‘보안모델’ 공개… 해킹 역이용 우려 커져

‘GPT-5.4-사이버’ 전문가에 배포
실행파일만으로 보안 허점 잡아내
고성능 AI에 각국 ‘사이버 안보’ 비상
한국 정부도 기업들과 긴급 간담회

앤스로픽의 초거대 최신 인공지능(AI) 모델 ‘미토스(Mythos)’에 맞서 오픈AI가 보안 특화 AI 모델을 선보였다. 보안 특화 AI 모델이 속속 등장하고 있는 가운데 한국·미국·영국 등 주요국 정부에서는 이 같은 AI가 해킹에 악용되면 금융·정보기술(IT) 기반 시스템이 위험에 빠질 수 있다는 두려움도 번지고 있다. ‘방패’가 강해지는 것이 아니라 도리어 사이버 시스템을 겨누는 ‘창’만 강해질 수 있다는 얘기다.

14일(현지 시간) 오픈AI는 소프트웨어(SW) 보안 취약점 탐지·대응에 특화한 ‘GPT-5.4-사이버’를 검증된 전문가 그룹에 먼저 공개했다. 이는 프로그램의 설계도인 ‘소스코드’ 없이 소프트웨어 실행파일만으로 보안 허점을 잡아내는 모델이다. 자동차 보닛을 열지 않고 외부 소음과 진동만으로 “엔진 밸브에 이상이 있다”고 짚어내는 셈이다.

다만 오픈AI는 악용 가능성을 고려해 배포 대상을 엄격히 제한했다. 오픈AI가 2월 출범시킨 사이버 보안 연구 지원 프로그램 ‘사이버를 위한 신뢰할 수 있는 접근(TAC)’ 참여자 가운데 최고 등급을 받은 고객 수백 명에게만 우선 배포한다. 그 후 신원 검증과 상시 모니터링을 거쳐 수주 내 수천 명으로 공급 대상을 넓힐 방침이다.

앞서 앤스로픽도 비슷한 고민 속에 선제 조치를 취했다. 고성능 보안 역량을 갖춘 AI모델 미토스가 철통 보안으로 꼽히는 운영체제(OS) ‘오픈BSD’에서 27년간(1999년 발생) 잠복해 온 결함을 단숨에 찾아내자, 12개 주요 빅테크 파트너사에만 해당 모델을 제한적으로 제공하고 있다.

가뜩이나 AI의 영향으로 보안 위협이 갈수록 커지는 형편이다. 글로벌 보안 지표 사이트 ‘제로데이 클락’에 따르면 취약점 공개 후 실제 해킹 공격까지 걸리는 시간이 2018년 2년 이상에서 지난해 단 23일로 급감했다.

사이버 안보 지형을 뒤흔드는 고성능 AI의 등장에 각국 정부의 발등에도 불이 떨어졌다. 물리적으로 분리된 금융권의 ‘폐쇄망’마저 뚫릴 수 있다는 위기감에 스콧 베선트 미 재무장관과 제롬 파월 연방준비제도(Fed) 의장은 최근 주요 은행 최고경영자(CEO)들을 소집해 보안망 긴급 점검을 지시했다. 영국도 중앙은행과 금융행위감독청(FCA), 국가사이버보안센터(NCSC)가 합동으로 미토스의 금융권 파장을 정밀 평가하고 있다.

국내도 비상 대응 체제에 돌입했다. 과학기술정보통신부는 15일 오전 화이트해커를 보유한 주요 정보보호 기업 CEO들과 간담회를 연 데 이어, 오후에는 주요 기업 40곳의 최고정보보호책임자(CISO)를 긴급 소집했다. AI가 취약점 탐지를 넘어 해킹 시나리오를 자율 설계하는 국면에 대비해 민관 합동 보안 태세를 점검하고 방어 체계 자동화 방안을 집중적으로 논의한 것이다.

배경훈 부총리 겸 과기정통부 장관은 14일 “미토스 같은 고성능 AI 보안 서비스는 보안 수준을 획기적으로 끌어올릴 기회이자, 악용되면 큰 위협이 될 수 있다”며 “국내 기업과 기반 시설이 이런 위협에 노출되지 않으면서도 보안 역량을 높여야 한다”라고 말했다.

한채연 기자 chaezip@donga.com