‘미토스 쇼크’ 한달… 韓, AI보안 강화 위해 망 분리 규제 1년 유예

1 day ago 5

‘초강력 AI 해커’ 악용 우려 커지자
정부-금융사들 대응책 머리 맞대
美-ECB, 은행 CEO 소집 긴급 논의
韓, AI 보안시스템 고도화 점검

차세대 인공지능(AI) 모델 ‘미토스(Mythos)’ 충격파에 대응하기 위해 세계 각국 정부와 금융회사들이 머리를 맞대고 있다. 미국 AI 스타트업 앤스로픽이 지난달 공개한 미토스는 애초에 주요 시스템의 보안 취약점을 찾아 이를 개선하는 ‘화이트 해커’로 개발됐지만 오히려 기존 시스템을 무너뜨릴 ‘초강력 AI 해커’로 악용될 수 있다는 우려가 커진 탓이다.

● ‘미토스 경계령’ 발령한 전 세계 중앙은행

25일(현지 시간) 영국 파이낸셜타임스(FT)에 따르면 유럽중앙은행(ECB)은 26일 역내 은행들을 소집해 이른바 ‘미토스 쇼크’에 대응하기 위한 방안을 긴급 논의한다. 미국 초대형 은행의 유럽 현지 법인뿐 아니라 유로존 내 111곳의 은행을 관리, 감독하는 ECB가 특정 사안과 관련된 임시 회의를 여는 건 이례적이다.

미토스는 앤스로픽이 지난달 7일 검증된 일부 기업과 기관에만 제한적으로 공개한 자율형 AI 비서(에이전트)다. 소프트웨어의 취약점을 발견하는 데 전문가급 실력을 갖춘 것으로 평가된다. 그러나 자칫 전쟁이나 범죄에 악용될 경우 그 피해가 대형 재난에 버금갈 것이라는 우려가 커지면서 각국 정부와 금융권이 대응 방안을 고심하고 있는 것이다.

블룸버그에 따르면 스콧 베선트 미국 재무장관과 제롬 파월 연준 의장은 미토스가 공개된 당일 골드만삭스, 뱅크오브아메리카, 씨티그룹 등 대형 금융기관 최고경영자(CEO)들을 긴급 소집했다. 미토스가 금융 시스템에 미칠 잠재적인 영향을 논의하기 위해서였다. 일본의 미쓰비시UFJ·미쓰이스미토모·미즈호 등 3대 대형 은행은 미토스에 대한 접근 권한을 확보하는 방안을 추진 중이다. 미토스가 해킹 공격에 악용될 것이란 우려가 커지자 앤스로픽이 미토스 접근 권한을 구글, 마이크로소프트, 애플 등 일부 기업에만 부여했기 때문이다. ECB의 경우 역내 은행 중 미토스 접근권을 지닌 미국 은행에 정보 공유를 촉구할 방침이다. 미토스의 위험조차 제대로 헤아리기 힘든 상황을 고려한 행보다.

● 한국도 ‘AI 방패’ 고도화 위해 규제 완화

한국 정부도 미토스 해킹 위협에 대응하기 위해 분주하게 움직이고 있다. 앞서 류제명 과학기술정보통신부 2차관은 11일 오전 마이클 셀리토 앤스로픽 정책 총괄을 면담하며 미토스 해킹 위협 대응 방안을 논의했다. 금융위원회는 이르면 6월부터 업무용 시스템과 외부 통신망을 분리하는 ‘망분리 규제’를 1년간 풀어준다. 금융사들은 업무용 시스템에서 AI를 활용해 보안 취약점을 한시적으로 직접 점검할 수 있게 된다. 지금은 업무용 시스템이 외부와 분리돼 있다 보니 AI 활용 자체가 불가능하다. 다만 총자산 10조 원, 종업원 수 1000명 이상이자 전담 정보보호최고책임자(CISO)를 둔 금융사만 신청할 수 있다. 은행, 대형 증권사 및 보험사 등이 대상이다.

보안 관리 역량, AI 활용 능력 등에 대해 전문가들이 평가한 뒤 금융위 보고, 비조치의견서 발급 등 절차를 거쳐 1년간 한시적으로 망분리 규제가 완화된다. 선정된 회사는 고성능 AI를 활용한 취약점 테스트와 보안 서비스형 소프트웨어 솔루션을 사용할 수 있다. 대신 규제 완화를 받기 위한 보안 규율을 준수하고, 테스트 결과 확인된 고성능 AI 보안 위험과 대응 요령 등을 정부에 보고해야 한다.

박기웅 세종대 정보보호학과 교수는 “‘미토스 쇼크’는 과거와 달리 해킹에 대한 전문성이 없거나 숙련도가 낮은 조직·개인도 AI로 해킹 공격에 나설 수 있는 환경으로 바뀌었음을 의미한다”며 “금융뿐 아니라 통신, 국방 등 모든 국가 인프라 영역에서 과거보다 훨씬 위험한 상황이 발생할 수 있다”고 진단했다.

강우석 기자 wskang@donga.com