AI, 보안 취약점도 찾고 악용도...국내 금융권 대응 시급

AI 모델이 사이버보안의 '양날의 검'이 되고 있다. Anthropic이 공개한 'Project Glasswing' 프로젝트는 AI를 방어에 쓰는 혁신이지만, 동시에 공격자도 동일한 능력을 가질 수 있다는 우려를 낳고 있다.

AI 모델, 제로데이 취약점 찾다

AI 연구소 Anthropic이 이번 주 새로운 강력한 모델을 발표했으며, 이 모델이 "모든 주요 운영 체제와 웹 브라우저"에서 "고심각도 취약점"을 발견했다고 밝혔다. Anthropic의 최신 모델 Mythos Preview는 "사이버보안을 재편할 수 있다"고 회사가 주장하며, 발견한 취약점을 악용할 방법도 더 잘 제시한다는 점에서 악의적 공격자가 더 효과적으로 목표를 달성할 수 있게 된다.

더 우려스러운 점은 회사가 악용 위험이 매우 높아 일반 공개할 계획이 전혀 없으며, 약 50개 정도의 선별된 기업과 기관에만 접근을 제한하고 있다는 것이다.

"AI로 AI를 방어해야 한다"

기술 기업들이 새로운 강력한 AI 시스템을 출시할 준비를 하면서 사이버보안 전문가들은 AI 기술이 사이버보안을 근본적으로 변화시킨다고 경고하고 있으며, "AI로 AI를 싸워야 한다"고 주장한다.

Anthropic의 Project Glasswing은 AWS, Apple, Google, JPMorganChase, Microsoft, NVIDIA를 포함한 기업들의 독점 파트너 그룹에 Claude Mythos Preview를 제공해 잠재적 위협에 미리 대응하려는 의도를 보인다.

금융 기관의 적색 경보

JPMorgan Chase의 Jamie Dimon 회장의 발언은 금융권의 긴장도를 드러낸다. JPMorgan Chase 최고경영자는 자신의 연례 서한에서 증가하는 사이버보안 위협을 언급했으며, "AI는 거의 확실히 이 위험을 더 악화시킬 것"이라고 지적했고, AI로 인한 증가된 위험에 대응하려면 시스템 보안에 더 많은 자원을 할당해야 한다고 강조했다.

이는 단순한 경고가 아니라 행동이다. Anthropic이 지난 화요일 Project Glasswing이라는 새로운 사이버보안 이니셔티브를 발표했으며, 이는 회사의 최신 AI 모델인 Claude Mythos Preview를 사용해 회사들의 소프트웨어에서 취약점을 찾기 위한 것이다.

한국 금융기관의 과제

국내 상황은 더 긴급하다. 국내 금융권은 여전히 기존 사이버보안 체계에 의존하고 있으며, AI 기반 공격에 대한 구체적 방어 전략이 부족하다.

기업들이 AI 방어에 기울일수록 악의적 행위자는 자신들의 공격을 숨기기 위해 더욱 교묘한 방법을 찾을 것이라는 경고가 의미하는 바는 명확하다. AI 공격과 AI 방어의 무장 경쟁이 본격화된 것이다.

국내 금융감독 당국과 대형 은행들은 다음과 같은 준비가 필요하다. 첫째, AI 기반 사이버공격에 대한 시나리오 분석과 모의 훈련. 둘째, 제한된 환경에서 AI 보안 도구 도입 검토. 셋째, 국제 기준의 사이버보안 인증과 감사 강화.

규제의 불가피한 강화

유럽연합 집행위도 Anthropic의 도구와 관련된 보안 함의를 지적했으며, "소프트웨어 취약점을 찾고 악용할 수 있다"고 주장하는 사이버보안 기술과 관련된 주목할 만한 위험이 있다고 명시했다. Anthropic은 이에 응해 더 광범위한 출시 전 보안 위험을 평가하기로 동의했다.

이는 AI 기업들이 단순히 성능을 경쟁하는 시대가 끝났음을 의미한다. 사이버보안 능력 있는 AI를 개발할 때, 동일한 능력이 공격에 악용될 위험을 얼마나 미리 차단했는지가 제품 출시의 필수 조건이 될 것이다.

결론

AI의 이중성은 결국 "누가 먼저 더 강한 방어를 만드는가"의 경쟁으로 귀결된다. 한국 금융권도 이 경쟁에서 뒤처지지 않으려면, 글로벌 수준의 AI 보안 투자와 기술 협력이 시급하다.