美 정부-앤스로픽, 갈등 갈무리하고 협력 가능성 모색
보안 위협으로 떠오른 앤스로픽 미토스, 美 정부 기관 도입 추진
기존 보안 시스템 취약점·부실한 대응 체계 수면 위로

도널드 트럼프 미국 행정부가 인공지능(AI) 기업 앤스로픽과의 협력을 추진한다. 앤스로픽의 차세대 AI '클로드 미토스(이하 미토스)'의 등장으로 전 세계적인 보안 리스크가 부각된 가운데, 앤스로픽의 공공 계약 시장 퇴출 결정을 번복하며 노선 전환에 나선 것이다. 전문가들 사이에서는 이 같은 미토스발(發) 혼란이 기존 IT 보안 시스템의 허점 및 구조적 한계를 고스란히 보여주고 있다는 평이 나온다.

美 정부와 앤스로픽의 갈등

19일(이하 현지시각) 정치 전문 매체 폴리티코는 트럼프 행정부와 앤스로픽이 최근 고위급 회동을 갖고 협력 방안을 논의했다고 보도했다. 이번 회동에는 다리오 아모데이 앤스로픽 최고경영자(CEO)와 수지 와일스 백악관 비서실장, 스콧 베선트 재무부 장관, 션 케언크로스 국가사이버국장 등이 참석한 것으로 알려졌다. 백악관은 회동 이후 기술 확산에 따른 위험 대응과 협력 기회를 논의했다고 밝혔고, 앤스로픽도 책임 있는 AI 개발을 위한 정부와의 협력 의지를 강조했다.

앞서 양측은 지난 2월 앤스로픽이 국방 분야에서 자사 AI 활용 범위를 제한한 것을 계기로 갈등을 겪어 왔다. 당시 앤스로픽은 대규모 감시와 완전 자율 무기에는 자사 기술을 제공하지 않겠다는 방침을 공개했다. 이는 트럼프 행정부의 기조와 정면으로 충돌하는 행보였다. 이에 트럼프 대통령은 연방 기관에 앤스로픽 기술 사용 중단을 지시하며 앤스로픽을 편향된 기업이라고 비판했고, 국방부도 앤스로픽을 국가안보 공급망의 잠재적 위험 요인으로 지목하며 압박 수위를 높였다.

이에 앤스로픽은 지난달 미 국방부와 트럼프 행정부를 상대로 연방법원에 소송을 제기했다. 정부가 자사를 국가안보 공급망 위험으로 지정해 사실상 공공 계약에서 배제한 것은 위헌적이고 보복적인 조치라는 주장이었다. 이후 법원 판단은 엇갈렸다. 지난달 26일 캘리포니아 연방법원은 정부의 블랙리스트 조치에 표현의 자유 침해 등 위법 가능성이 있다고 판단하며 가처분 인용 결정을 내렸다. 반면 이달 초 항소법원은 별도의 긴급 정지 요청을 기각하며 해당 조치의 효력을 당장 중단하지는 않았다.

미토스 등장 이후 판도 뒤집혀

치열하던 분쟁 양상은 지난 7일 앤스로픽이 미토스의 프리뷰 버전을 공개한 뒤 완전히 뒤집혔다. 앤스로픽의 설명에 따르면 이 모델은 소프트웨어 취약점을 발견하는 데 있어 고도의 숙련자를 제외한 대부분의 사람을 능가한다. 실제 미토스는 현존하는 가장 안전한 운영체제(OS)로 꼽히는 OpenBSD에서 27년간 발견되지 않았던 시스템 결함을 찾아내고 침투 경로까지 설계했다. 아울러 노후화된 네트워크 프로토콜(SACK)의 설계 결함을 파고들어 오버플로를 유도해 냈고, 대중적인 영상 처리 소프트웨어인 FFmpeg에서도 데이터 표현 방식의 오류를 찾아내 16년 만에 임의의 메모리를 조작하는 데 성공했다.

미토스의 등장 이후 시장에서는 해킹을 막도록 개발된 AI가 외려 강력한 해킹 수단으로 활용될 수 있다는 우려가 확산했고, 미국을 비롯한 각국 정부와 금융당국은 긴급 대응 논의에 나섰다. 유럽중앙은행(ECB)은 각 은행에 미토스 리스크에 대해 질의하기 위한 준비에 착수했고, 영국 정부도 15일 주요 기업에 공개서한을 통해 미토스 리스크와 관련한 경고를 보냈다. 베선트 장관과 제롬 파월 연방준비제도(Fed) 의장은 해킹 공격의 최우선 타깃이 될 수 있는 월가 대형 은행 경영진을 긴급 소집했다.

이후 트럼프 행정부는 논의 끝에 입장을 선회해 미토스를 정부 차원에서 활용하겠다는 의사를 드러냈다. 지난 16일 블룸버그통신 등 외신은 미 백악관 관리예산국(OMB)이 미토스를 정부 기관에 제공하는 방안을 검토 중이라고 전했다. 보도에 따르면 그레고리 바바시아 OMB 최고정보책임자(CIO)는 최근 각 부처에 이메일을 보내 “앤스로픽과 업계 파트너, 정보당국과 긴밀히 협력해 미토스 수정 버전을 정부 기관에 제공하기 전에 적절한 보안 규정과 안전장치를 마련할 것”이라고 밝혔다. 다만 이메일에는 정부 기관들이 미토스 접속 권한을 확실히 부여받을 것이라는 명시적 내용은 포함되지 않았으며, 도입 시기나 사용 방법 등 구체적 일정도 제시되지 않았다.

미 온라인 매체 악시오스는 19일 미국 국방부 산하 첩보기관 국가안보국(NSA)이 이미 미토스를 사용 중이라고 보도하기도 했다. 앞서 앤스로픽은 미토스가 해커 등에게 악용될 가능성을 고려해 소수 기관 및 기업에만 선별적으로 서비스를 제공하겠다는 입장을 발표한 바 있다. NSA는 현재 미토스 접근이 허용된 40개 기관에 포함된 것으로 전해진다. 관련 사안에 정통한 한 관계자는 이 모델이 특정 부서에 그치지 않고 부처 전반에서 더 넓게 사용되고 있다고 설명했다.

안일한 보안 시스템에 '경종'

전문가들은 미토스가 촉발한 이 같은 혼란이 전 세계 IT 시스템의 안이한 보안 실태를 여실히 보여주고 있다고 지적한다. 로이터통신은 금융권과 보안 전문가들을 인용해 "은행권을 포함한 주요 산업이 최신 시스템과 수십 년 된 레거시 기술을 함께 운용하고 있어 (보안) 취약점이 광범위하게 남아 있다"고 전했다. 관리 가능한 요소로 여겨졌던 이 같은 약점들이 미토스 등장 이후 더 이상 방치하기 어려운 리스크로 급부상했다는 분석이다. 영국 과학혁신기술부 산하 연구 기관인 AI 보안 연구소(AISI)도 미토스의 공격 능력이 취약한 기업 네트워크에 현실적인 위협이 될 수 있다고 봤다.

AI의 취약점 발견 속도를 따라가지 못하는 기존 보안 체계의 구조적 한계도 문제로 꼽힌다. 보안 전문 매체 더 해커 뉴스는 "취약점이 공개되자마자 자동화 도구가 이를 분석·악용하는 반면, 기업은 점검과 승인 절차로 대응이 지연된다"며 “그 시간 차이가 곧 공격 기회가 된다”고 짚었다. 미국 공공정책 매체 페더럴 뉴스 네트워크도 “AI는 우리가 패치를 적용하기도 전에 공격 코드를 만들어낸다”며 대응 속도에 대한 우려를 표명했다.

IT 전문 매체 ITPro는 보안 업체 포어스카우트 연구진을 인용해 AI로 보안 취약점 탐지 능력이 급격히 제고된 반면, 기존 취약점 관리 체계는 이에 비해 수개월까지 뒤처질 수 있다고 분석했다. 보안 기업 컨트라스트시큐리티 최고정보보호책임자(CISO) 데이비드 린드너는 포춘과의 인터뷰에서 "취약점을 찾는 것보다 이를 실제로 패치하는 것이 훨씬 중대한 문제"라며 “이미 매일 수많은 취약점이 발견되고 있지만, 인력과 자원의 한계로 고치지 못한 채 쌓아둔 ‘취약점 더미’가 무한정”이라고 지적하기도 했다. 실제 앤스로픽 발표 자료에서는 미토스가 발견한 취약점의 99% 이상이 아직 패치되지 않은 상태라는 사실이 확인됐다.