미국 사이버보안 총괄기관이 AI 보안 툴에서 빠진 이유

미국 정부가 AI로 해킹을 막겠다고 나선 시점에, 정작 해킹 방어를 책임지는 기관은 그 AI를 못 쓰고 있다.

Axios가 4월 22일 보도한 내용에 따르면, 앤트로픽(Anthropic)의 AI 사이버보안 모델 '미토스 프리뷰(Mythos Preview)'에 미국 상무부와 국가안보국(NSA)은 접근권을 확보했지만, 사이버보안 및 인프라 보안국(CISA)은 그렇지 못한 상태다. CISA는 미국 연방 네트워크 전반의 사이버 위협을 탐지하고 조율하는 사실상의 국가 사이버보안 컨트롤타워다. 트럼프 행정부는 현재 더 넓은 접근권 확보를 위해 앤트로픽과 협상 중인 것으로 알려졌다.

AI가 취약점을 찾는다는 것

미토스 프리뷰는 앤트로픽이 사이버보안 특화 목적으로 개발한 AI 모델이다. 소프트웨어의 보안 취약점을 자동으로 탐지하고 패치 방법까지 제안하는 기능을 갖추고 있다고 회사 측은 밝혔다. 전통적으로 보안 전문가들이 수작업으로 수행하던 '침투 테스트(penetration testing)'와 '취약점 분석'을 AI가 대규모로, 빠르게 처리할 수 있다는 게 핵심이다.

사이버 위협의 규모가 커지면서 이 기능의 가치는 더욱 높아졌다. 2024년 한 해 동안 미국 연방기관을 겨냥한 사이버 공격은 전년 대비 30% 이상 증가했으며, 특히 중국·러시아 연계 해킹 그룹의 정교함은 기존 방어 체계를 압박하고 있다. NSA가 미토스 프리뷰에 관심을 보이는 것은 이 맥락에서 이해할 수 있다.

컨트롤타워가 빠진 아이러니

CISA가 접근권을 갖지 못한 구체적 이유는 공개되지 않았다. 예산 문제일 수도 있고, 조달 절차의 문제일 수도 있으며, 트럼프 행정부의 CISA에 대한 정치적 시각이 반영됐을 가능성도 배제할 수 없다. 실제로 트럼프 행정부는 출범 이후 CISA의 예산과 인력을 축소해왔다. 지난해에는 CISA 국장이 교체됐고, 일부 핵심 프로그램이 중단됐다.

광고

광고주 모집

[email protected]

광고

이 상황이 단순한 행정적 공백인지, 아니면 의도적인 우선순위 조정인지는 불분명하다. 하지만 NSA는 주로 해외 정보 수집과 공세적 사이버 작전에 초점을 맞추는 반면, CISA는 국내 민간·공공 인프라 방어를 담당한다. 공격보다 방어 쪽에 AI 도구가 먼저 필요하다는 주장은 충분히 설득력이 있다.

한국에서 이 뉴스를 읽어야 하는 이유

앤트로픽의 행보는 단순히 미국 내부 문제가 아니다. AI 기업이 특정 정부 기관에 선별적으로 기술 접근권을 부여하는 방식이 관행화된다면, 이는 글로벌 사이버보안 생태계 전반에 영향을 미친다.

한국도 예외가 아니다. 국가정보원과 한국인터넷진흥원(KISA)은 AI 기반 사이버 위협 탐지 시스템 도입을 확대하고 있다. 삼성SDS, SK쉴더스, LG CNS 등 국내 보안 기업들도 AI 보안 솔루션 개발에 속도를 내고 있다. 그러나 앤트로픽처럼 최전선 AI 모델을 보유한 기업과의 협력 구도에서 한국 기관이 어떤 위치를 점할 수 있을지는 아직 불투명하다.

더 근본적인 질문도 있다. AI 사이버보안 툴에 대한 접근 자체가 국가 안보 역량의 격차를 만들어낸다면, 이 기술을 누가 먼저, 얼마나 넓게 가지느냐는 단순한 IT 조달 문제가 아니라 지정학적 문제가 된다.

다른 시각들

사이버보안 업계 일부에서는 AI 취약점 탐지 모델의 정부 활용 자체에 신중론을 제기한다. AI가 취약점을 찾는 능력은 방어뿐 아니라 공격에도 쓰일 수 있기 때문이다. 미토스 프리뷰가 NSA에 제공됐다는 사실은, 이 기술이 순수한 방어 목적으로만 활용될 것이라는 보장이 없음을 시사한다.

시민사회 관점에서는 민간 AI 기업이 정부 기관에 보안 인프라를 제공하는 구조 자체에 대한 투명성 문제도 제기된다. 어떤 조건으로, 어떤 데이터에 접근하며, 감독은 누가 하는가.

반면 앤트로픽 입장에서는 정부 계약은 중요한 수익원이자 기술 검증의 장이다. 경쟁사인 OpenAI와 Google DeepMind 역시 정부 파트너십을 적극 확대하고 있는 상황에서, 연방기관과의 협력은 선택이 아닌 생존 전략에 가깝다.