앤트로픽은 최근 글로벌 빅테크 회사들과 함께 사이버 보안 강화 이니셔티브인 프로젝트 글래스윙을 발표하면서, 새로운 인공지능(AI)모델인 미토스에 대해 알려졌다. 미토스는 모든 주요 운용체계와 브라우저에서 제로데이 취약점을 찾아 악용할 수 있는 AI 모델로 개발됐지만, 지금 공개하기에는 너무 위험하다고 판단해 애플, 마이크로소프트(MS), 구글, 아마존 및 약 40개 조직에 제한적인 접근 권한을 부여해 유사한 기능을 갖춘 모델이 공격자가 이용하기 전에 중요 소프트웨어(SW)를 스캔하고 패치할 수 있도록 했다.
그 후 보안업계에는 다섯 가지 주요 논의가 있다. 첫 번째는 선제적 대응에 대한 논의다. 보안업계가 다른 개방형 모델이 미토스의 버그 탐지 능력에 필적하기까지 약 6개월이 걸릴 것으로 추정한다. 그 시점이 되면 모든 랜섬웨어 공격자는 특별한 기술 없이 최소한의 비용으로, 취약점을 찾아 악용할 수 있게 될 수도 있다. 그래서, 미토스를 빨리 활용해야 한다는 입장이 있다.
두 번째는 취약점 발견이 곧 해결책은 아니라는 점이다. 미토스가 발견한 취약점 중 1% 미만만이 패치됐다는 점을 고려해야 한다. 이미 과부하 상태인 취약점 해결 프로세스에 더 많은 취약점을 추가하는 것만으로는 아무것도 해결되지 않는다. 패치를 생성하는 것 자체가 문제는 아니지만, 경영진의 승인과 부서 간 협업 없이 패치를 배포하는 것은 문제가 될 수 있다.
세 번째는 보안 거버넌스에 대한 것이다. 이렇게 위협적인 AI 모델로부터 우리를 보호하는 유일한 방법은 그러한 모델을 먼저 구축하는 것이라는 입장이 있다. 하지만 미토스를 확산하기 위해서는 최소한의 규제 감독 하에 위협과 제안된 해결책 모두가 통제돼야 한다. 미토스에 대한 거버넌스 문제는 현실적이며, 아직은 대부분 해결되지 않은 상태다.
네 번째는 AI가 사이버 보안 산업을 만들어낸 결함 있는 SW를 수정할 것이므로, 프로젝트 글래스윙이 우리가 알고 있는 사이버 보안의 종말의 시작을 알리는 신호라는 주장이다. 이러한 입장은 미토스가 보안에 미치는 영향에 대해 단기적으로는 비관적일 수 있지만 장기적으로는 낙관적이라고 말했다. 하지만 이런 식으로 사이버 보안 문제가 해결 단계에 접어든 것처럼 묘사하는 것은 회사의 경영진이나 조직의 리더들에게 당면한 문제의 해결을 미룰 수 있는 명분을 제공할 뿐이며, 바로 눈앞의 보안문제가 해결되는 것은 아니다.
다섯 번째로 관련 유지보수 작업은 누구의 책임인지에 대한 논의다. 예를 들어 리눅스과 관련해서 AI가 생성한 취약점 보고서는 그 내용이 매우 충실해지고 있으며, AI 도구 덕분에 많은 실제 버그가 수정되고 있다. 그럼에도 많은 중요한 오픈 소스 프로젝트가 프로젝트 글래스윙에서 제외된 것도 사실이다.
이 다섯 가지는 모두 현실적인 문제를 다루는 것이다. 패치를 충분히 빠르게 배포할 수 있는지, 복구 파이프라인이 처리량을 감당할 수 있는지, 누가 이러한 기능을 관리해야 하는지, 더 나은 코드가 결국 문제를 해결할 수 있는지, 누가 유지보수 작업을 담당할 것인지 등에 대해서 말이다. 이 모든 질문은 기술, 프로세스 또는 산업 구조에 관한 것이다.
하지만 이 모든 대화에서 빠진 질문이 있다. 바로 “다가올 변화에 조직이 대비할 수 있는지 여부를 판단하는 투자 결정을 리더십이 내릴 것인가?”이다. 글래스윙에 참여한 파트너사들은 미토스가 밝혀낸 내용을 바탕으로 행동할 자원과 조직적 의지를 가지고 있다. 문제는 2000명 규모 제조업체의 CISO가 3년 로드맵에 있던 제로 트러스트 제어를 이번 분기에 도입하도록 경영진의 지원을 얻을 수 있을지, 또는 매출 목표 달성에 어려움을 겪고 있는 CEO가 제품 기능 개발에 투입되는 엔지니어링 자원을 공격 표면 축소에 재배정할지 여부다. 이러한 모든 결정은 리더십의 몫이다. 이러한 전략은 아직 여러분의 환경에서 현실화되지 않은 위협에 비용을 지출하고, 아무도 고마워하지 않을 조직적 혼란을 감수하도록 요구한다. AI는 취약점 수명주기를 현재의 투자 계획과 패치 주기로는 따라잡을 수 없는 수준으로 단축시켰다. 6개월 전에는 충분히 합리적인 전략이었던 단계적 제로트러스트 구축이 지금은 당장의 문제가 될 수 있다. 업계에서는 누가 미토스에 접근할 수 있는지, 어떻게 이 능력을 관리할 것인지, 그리고 더 나은 코드가 결국 문제를 해결할 수 있을지에 대한 논쟁을 계속할 것이다. 이러한 논의는 중요하지만, 이 논의만으로는 향후 12개월 동안 우리의 조직을 보호할 수 있는 것은 아니기 때문에, 조직의 리더십이 내리는 결정은 그 어느때보다 중요하다.
양희정 BeyondTrust 한국 비즈니스 총괄·공학박사 jyang@beyondtrust.com