[아이뉴스24 안세준 기자] "전문 해커가 수작업으로 했더라면 며칠이 걸릴 작업을 AI는 불과 10여 분 만에 (특정 기업의 서비스에 대한 보안 취약점을) 7개 찾아냈다."
8일 최우혁 과학기술정보통신부 정보보호네트워크정책실장은 백브리핑을 열고 앤트로픽의 생성형 AI 모델인 '클로드 오퍼스 4.7'로 특정 기업 서비스를 모의 침투 시연한 결과 이같이 나타났다고 밝혔다.
![최우혁 과학기술정보통신부 네트워크정책실장이 8일 사이버보안 프로젝트 대응방안 논의 산학연 전문가 간담회 직후 백브리핑을 열고 간담회 내용 및 시연에 대해 설명하고 있다. [사진=안세준 기자]](https://image.inews24.com/v1/761490453a2a17.jpg)
백브리핑은 이날 과기정통부가 비공개로 진행한 '사이버보안 프로젝트 대응방안 논의 산학연 전문가 간담회' 직후 마련됐다. 이 자리에서는 업계, 전문가 등 의견 청취와 함께 침투 시연이 진행됐다. 정부는 간담회 내용을 공개하지 않을 계획이었으나, 국민에 상세히 설명할 필요가 있다는 배경훈 부총리의 지시로 예정에 없던 브리핑이 이뤄졌다.
최 실장은 모의 침투 시연에 대해 "전문 해커 수준의 인력이 AI를 활용했을 때와 일반 직원이 활용했을 때를 비교해봤는데, 프롬프팅 능력에 따라 결과 차이가 컸다"면서 "일반인이 아닌, 해커가 수작업에서 침투하는 것보다는 훨씬 빨라질 수 있다는 가능성을 확인했다"고 말했다.
정부는 AI 기반 사이버 공격 가능성에 대응하기 위해 이달 말 또는 6월 초 중장기 대책 방향을 공개하겠다는 방침이다. 앤트로픽의 프로젝트 글래스윙 참여 여부와 별개로 대규모 취약점 발견 가능성에 대비한 패치 체계, 보안 특화 AI 모델, 독자 파운데이션 모델(독파모) 활용 등이 거론된다.
최 실장은 "간담회에서는 미토스 같은 고성능 AI 기반 시스템이 사이버 보안 분야에 상당한 변화를 줄 수 있다는 의견이 많았다"면서도 "일부에서는 과대평가됐다는 시각도 공존했다"고 전했다. 이어 "다만 AI를 활용한 사이버 공격 가능성이 높아지고 있는 만큼 기존 패러다임만으로 대응하기 어렵다는 데는 공감대가 형성됐다"고 전했다.
다음은 최우혁 실장과의 일문일답이다.
-AI로 실제 서비스를 공격한 시연, 구체적으로 어떤 내용이었나.
특정 솔루션에 대한 취약점을 찾는 것이 아니라, 기업이 운영하고 있는 실제 서비스에 대한 취약점을 찾아 침투하는 과정을 시연했다. 예를 들어 홈페이지 내 인증 우회 등이 대표적인 취약점이다. 이를 통해 계정을 확보하고, 그 계정을 통해 사이트에 접속하는 일련의 과정을 AI를 통해 시연했다.
-실제로 기존 비밀번호를 몰라도 새로운 비밀번호를 생성해 뚫은 사례가 있었나. 다른 취약점 발견 사례는.
그렇다. 그 기업의 동의를 받고 취약점을 점검했고, 그 과정을 확인한 실제 사례다. 취약점은 총 7가지 정도 발견됐다.
-앤트로픽이 주도하는 사이버 보안 연합체 '프로젝트 글래스윙'에 참여 여부는. 오픈 AI의 보안협의체인 TAC에 참여 의사는 있는지.
글래스윙 프로젝트 참여에 대해서는 앤트로픽과 계속해서 협의를 하고 있다. TAC에는 국내 참여가 있는 것으로 확인되고 있으나, 구체적인 기업이나 기관, 숫자는 해당 주체 확인을 거쳐야 한다. 정부 차원 참여 여부도 추가 확인이 필요하다.
과기정통부는 국내 민간 분야 정보보호 수준을 높일 수 있다면 어떤 프로젝트든 참여하기 위해 노력하고 있다. 정부 대응책은 별도로 검토 중이다. 5월 말이나 6월 초 공개할 대책에 관련 내용이 담길 수 있다.
-글래스윙 프로젝트, 국내 기업이 개별적으로 들어가는 방식인지? 정부 기관을 통한 방식인지.
현재 공개된 정보상 글래스윙에는 52개 기업·기관이 참여하고 있는 것으로 안다. 영국 AI안전연구소(AISI), 리눅스재단 같은 기관도 있고 기업도 있다. 한국 정부 차원에서는 AI안전연구소와 KISA 등을 통해 확인하고 접촉하고 있다. 국내 기업들의 개별 움직임은 별도다.
-보안 특화 모델이나 독자 파운데이션 모델이 현실적 대안이 될 수 있나.
오늘 회의에서도 독자 파운데이션 모델 기업들이 참석해 논의했다. 보안 주권 차원에서 국내 독자 AI 시스템을 활용할 필요가 있다는 공감대는 있었다. 다만 어느 수준까지, 언제까지 가능하다고 평가하기는 아직 어렵다. 보안 특화 모델의 필요성에 대한 공감대가 형성된 단계라고 보면 된다.
-국정원이나 안보실 등과 범정부 협업도 하나.
민·관·군 체계에서 안보실을 중심으로 일정 부분 지휘가 이뤄지고 있다. 범정부적으로 대응하고 있다고 보면 된다. 민간 분야 대응은 과기정통부가 맡고 있다. 엔트로픽 글래스윙과 관련해서는 AI안전연구소와 KISA를 통해 접촉하고 있다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기