SVD 보도에 따르면, 미국의 AI 기업 앤트로픽(Anthropic)이 개발한 새로운 AI 모델 '클로드 미토스(Claude Mythos)'가 수만 개에 달하는 소프트웨어 보안 취약점을 발견했습니다. 이 모델은 기존 AI보다 훨씬 뛰어난 코딩 능력과 다단계 계획 수립 능력을 바탕으로, 수십 년간 발견되지 않았던 보안 허점까지 찾아내고 이를 악용할 수 있는 것으로 알려졌습니다.
미토스의 능력과 위험성
미토스는 자체적으로 가설을 세우고, 이를 검증하며, 결과를 바탕으로 개선하는 과정을 반복합니다. 또한, 여러 개의 작은 취약점을 연쇄적으로 연결하여 강력한 사이버 공격을 단독으로 수행할 수 있는 능력을 갖추고 있습니다. 이는 기존 AI 모델이 인간의 지시에 의존했던 것과 달리, 미토스가 훨씬 더 독립적으로 작동함을 의미합니다.
보안 업계의 대응
앤트로픽은 미토스의 잠재적 위험성을 인지하고, 모델을 공개적으로 배포하는 대신 보안 기업 및 기술 기업들과 협력하는 프로젝트를 진행했습니다. 이 프로젝트를 통해 시스코(Cisco)와 같은 기업들은 미토스를 활용하여 시스템의 보안 취약점을 발견하고 보완하는 작업을 수행하고 있습니다. 시스코의 보안 전문가 마크 잭슨(Mark Jackson)은 이러한 AI 모델이 사이버 공격의 진입 장벽을 크게 낮춰, 이전에는 불가능했던 공격들이 가능해질 것이라고 경고했습니다.
발견된 취약점 현황
프로젝트 시작 후 약 두 달 만에 23,000개의 취약점이 발견되었으며, 이 중 6,200개는 심각하거나 치명적인 수준인 것으로 파악되었습니다. 전문가들은 AI 기술의 발전에 따라 이러한 능력은 더욱 확산될 것으로 예상하며, 관련 시스템 보호를 위한 즉각적인 점검과 대비를 촉구하고 있습니다.
전문가들의 진단
케임브리지 대학교의 AI 및 사이버 보안 연구원 제럴드 마코(Gerald Mako)는 "종말은 아니지만, 분명한 방향성을 가지고 AI 발전이 멈추지 않을 것이기에 긴장감을 늦출 수 없다"고 말했습니다. 그는 은행, 제조, 물류, 의료, 유통, 공공기관 등 다양한 분야가 미토스의 공격에 취약할 수 있다고 지적했습니다. 다만, 일반 개인의 경우 과도한 불안감을 가질 필요는 없다고 덧붙였습니다.
스웨덴 연구기관 라이즈(Rise)의 AI 센터를 이끄는 스베르케르 얀손(Sverker Janson) 역시 일반 대중의 불안감은 크지 않아도 된다고 보았습니다. 그는 미토스가 현재 보안 취약점을 보완하는 데 사용되고 있다는 점을 강조하며, 오히려 이러한 AI 도구를 통해 문제점을 더 잘 발견할 수 있게 된 것에 긍정적인 입장을 보였습니다. 얀손은 이러한 취약점 발견이 마법 같은 일이 아니라, 의지를 가진 사람이라면 누구나 찾아낼 수 있는 과정이라고 설명했습니다.
클로드 미토스의 작동 방식
클로드 미토스는 미국 앤트로픽이 개발한 AI 모델로, 프로그래밍 코드를 이해하고 작성하는 능력이 뛰어납니다. 이 모델은 다음과 같은 방식으로 작동합니다:
- 인터넷과 분리된 컴퓨터에서 프로그램의 소스 코드를 읽습니다.
- 잠재적인 취약점에 대한 가설을 수립합니다.
- 가설을 테스트하여 의심을 확인하거나, 수정하여 재시도합니다.
- 여러 개의 작은 취약점을 발견하면 이를 연쇄적으로 연결하여 더 강력한 공격을 시도합니다.
- 발견된 문제점에 대한 버그 보고서를 작성합니다.
