[주간보안동향] 27년 전 취약점 발견한 AI…보안 업계 파장 일으킨 ‘미토스’ 外

[IT동아 김예지 기자] 사이버 위협이 일상이 된 시대, 보안은 더 이상 특정 기업만의 문제가 아니라 개인과 사회 전체의 리스크로 확산되고 있습니다. 한 주간 국내외에서 발생한 주요 보안 이슈와 정부 정책, 기업 소식을 살펴봅니다.

27년 전 취약점 발견한 AI…보안 업계 파장 일으킨 ‘미토스’

보안 취약점을 스스로 탐지하고 공격 코드까지 생성하는 AI가 등장했다. 바로 앤트로픽(Anthropic)이 지난 7일 공개한 AI 모델 ‘미토스(Mythos)’다. 미토스는 기존 최상위 모델 ‘클로드 오퍼스’의 성능을 뛰어넘는 범용 모델로, 복잡한 소프트웨어 구조를 사람 전문가 수준으로 추론해 보안 취약점을 찾아낸다고 알려졌다.

앤트로픽은 “소프트웨어의 보안 취약점을 탐지하는 능력이 뛰어나 해킹 등에 악용될 수 있다”고 설명했다. 이른바 ‘미토스 쇼크’라 불리는 까닭이다. 앤트로픽은 해커나 범죄 집단이 미토스를 악용하지 못하도록 일부 기업에 제한적으로 접근 권한을 부여했다. 구글, 애플, 아마존, 브로드컴, 시스코, 마이크로소프트, 엔비디아, JP모건체이스, 팔로알토 네트웍스 등 AI 모델의 기능을 방어 목적으로 활용하기 위해 시작된 ‘프로젝트 글래스윙’의 참여사들은 미토스 프리뷰를 제공받아 사이버 공격을 막아내는 데 활용할 예정이다.

미토스는 보안 측정 지표인 ‘사이버짐(CyberGym)’ 평가에서 83.1%를 기록했다. 오퍼스 4.6가 기록했던 66.6%를 앞지른 수치다. 보안이 강화된 운영체제 ‘OpenBSD’에서 27년간 발견되지 않았던 취약점을 발견했다. 영상 소프트웨어 ‘FFmpeg’에서 16년 동안 숨어있던 취약점도 발견했는데, 그간 자동화 도구로 500만 회 이상 검사를 실행하고도 놓쳤던 결함이었다.

특히 미토스는 취약점을 찾는 데 그치지 않고, 여러 취약점을 연결해 복잡한 시스템을 무력화하는 공격 코드(익스플로잇)를 스스로 생성한다는 점에서 기존 사이버 보안 솔루션을 대체할 것이란 우려가 확산됐다. 미 재무부와 연준이 월가 은행 CEO들을 소집해 대응책 마련에 나선 이유다.

한편, 외신에 따르면 오픈AI도 14일 방어적 사이버 보안에 특화된 ‘GPT-5.4-Cyber’를 공개했다. 오픈AI는 이를 앤트로픽과 같이 검증된 보안업체와 기관, 연구자들에게 제한적으로 공급할 계획이라 밝혔다.

공식 앱 마켓 속 ‘위장 앱’ 주의보

최근 교묘하게 설계된 악성 앱이 기승을 부리고 있다. 안랩은 지난 9일 공식 앱스토어에서 공식 기관을 사칭하거나 도구로 위장해 광고를 무분별하게 노출하는 ‘위장 앱’을 다수 발견하고 주의를 당부했다.

해당 앱들은 계산기, 손전등, 메모장, 배터리 최적화 등 일상적인 유틸리티 앱의 아이콘과 이름을 도용해 설치를 유도한다. 이들은 공식 기관이 배포한 것이 아니며, 개발자는 ‘단순 정보 제공 목적’으로 등록돼 있다. 안랩은 “2024년 ‘K-PASS’로 위장한 사례에서도 확인됐으며, 2025년에도 동일한 형태의 앱이 추가 발견됐다”고 말했다.

이러한 앱을 실행하면 화면이 전환될 때마다 광고가 뜨고, 일정 시간이 지나야만 닫힌다. 그러나 현재 명백한 악성 행위가 드러나지 않는다는 이유로 여전히 유지되고 있다. 사용자는 구조상 언제든 악성코드를 유포하는 통로로 변질될 수 있어 주의해야 한다. 설치 전 개발자 정보와 설명, 후기를 꼼꼼히 확인하고, 불분명한 경로의 앱은 다운로드하지 않는다. 유사 행위가 반복되는 앱은 지속 모니터링하고, 의심스럽다면 신고하도록 한다.

불법 스팸 뿌리 뽑는다…전송자격인증제 시행

방송미디어통신위원회(이하 방미통위)가 지난 10일 전체회의에서 ‘전송자격인증제’ 시행 방안을 마련했다. 전송자격인증제는 대량문자 전송서비스를 제공하려는 사업자가 5개 분야, 16개 항목의 인증 기준을 충족해야만 사업을 할 수 있도록 하는 제도다. 5개 분야는 서류 적정성, 이용자관리 적정성 등이며, 16개 항목에는 이용약관, 부정사용 차단, 금칙어 차단체계 등이 포함된다.

마약·도박·불법투자 유도·불법대출 등 불법행위를 위한 스팸을 발송하면 인증이 즉시 취소되고, 특수한 유형의 부가통신사업자 등록도 함께 취소된다. 전송자격인증을 받지 않은 사업자는 특수한 유형의 부가통신사업자로 등록 자체가 불가능하기 때문에 무자격 업체의 난립을 억제하는 효과도 기대된다. 또한 인증을 받은 사업자도 연 1회 기준 유지 여부 점검을 받으며, 기준 미충족 시 경고 또는 인증취소 처분을 받을 수 있다.

한편, 방미통위는 지난 3월 불법스팸 전송자와 방지 의무를 소홀히 한 사업자에게 관련 매출액의 6% 이하 과징금을 부과하고, 악성스팸 전송자의 부당이익을 몰수·추징하는 내용의 정보통신망법 개정안이 국무회의를 통과시켰다. 기존에는 3000만 원 이하의 과태료 부과에 그쳐 실질적인 제재 효과가 미흡하다는 지적이 꾸준히 제기돼 왔다. 개정안은 공포일로부터 6개월 후 시행 예정이다.

SKT, 1348억 과징금 취소 소송, 9월 첫 재판

유심정보 유출 사고로 1300억 원대 과징금을 부과받은 SKT가 개인정보보호위원회를 상대로 제기한 과징금 처분 취소 소송 재판이 오는 9월 본격 재판 절차에 돌입한다.

앞서 지난해 4월 SKT에서는 가입자 약 2700만 명의 유심정보가 유출되는 대규모 해킹 사고가 발생했다. 개인정보위는 안전조치 의무 위반과 유출 통지 지연을 이유로 위원회 출범 이후 역대 최대 규모인 1347억 9100만 원의 과징금과 과태료 960만 원을 부과했다. 당시 개보위는 “국내 1위 이동통신사로서 막중한 사회적 책임이 있음에도 불구하고 기본적인 보안 관리에 실패했다”고 지적했다.

SKT는 올해 1월 19일, 취소 소송 제기 기한 만료 직전에 서울행정법원에 소송을 냈다. SKT는 해킹 사고 이후 보상안과 정보보호 혁신안에 총 1조 2000억 원을 투입한 점, 유출로 인한 실제 금융 피해가 없었던 점을 고려해달라는 입장을 내세웠다.

글로벌 IT 기업에 위장 취업한 북한 인력 적발

사이버 보안 기업 그룹아이비(Group-IB)가 13일 최근 북한 IT 인력이 가짜 신분과 AI 기술을 결합해 글로벌 IT 기업에 원격 근로자로 위장 취업하는 캠페인을 적발했다고 발표했다. 연구에 따르면, 이들은 실존하지 않는 가짜 신원(합성 신원)을 만들고, 생성형 AI로 입사지원서를 작성해 기업의 채용 프로세스를 통과한다. 이후 기존 보안 통제망을 우회하고 기업 내부에 합법적으로 접근하는 진화된 수법을 활용한다.

특히 깃허브, 프리랜서 마켓플레이스, 포트폴리오 사이트 등 다양한 플랫폼에 가짜 개발자 페르소나 생태계를 조직적으로 구축한 것으로 드러났다. 이는 최소 2021년부터 2026년 3월까지 지속된 것으로 확인됐다. 또한 프리랜서 플랫폼에서 인증된 계정을 확보해 일자리를 구하거나, 이력만 수정한 개발자 페르소나를 재활용하는 방식도 포착됐다.

그룹아이비는 위조 문서, 입사 지원서 템플릿, AI 생성 답변, 계정 접속 정보가 패키지로 묶인 ‘합성 신원 패키지 저장소’를 발견했다고 밝혔다. 이러한 공격으로 인한 피해는 단순한 보안 문제에 그치지 않는다. 북한 연계 인력을 모르고 고용한 기업은 국제 제재 체계 위반을 포함해 법적 책임까지 질 수 있다. 현재 이들은 미국, 유럽, 아시아태평양 등 세계 기업을 표적으로 삼고 있다. 그룹아이비는 자사의 위협 인텔리전스 프레임워크를 통해 해당 활동을 지속 추적 중이라고 밝혔다.

IT동아 김예지 기자 (yj@itdonga.com)