18일 관계부처 회의서 대응안 논의전력·금융·의료망까지 사이버 방어 AI 전환 [사진=로이터·연합뉴스] 미국 인공지능(AI) 기업 앤트로픽의 신형 모델 '클로드 미토스'가 사이버 공격에 악용될 수 있다는 우려가 커지면서, 일본 정부가 기업과 공공기관의 정보시스템 보안 점검에 AI를 활용하는 방안을 추진한다. 미토스는 소프트웨어 취약점을 찾아내는 능력이 기존 모델을 압도하는 고성능 AI다. 기업과 정부의 보안 점검에는 유용하지만, 해커 손에 넘어가면 아직 알려지지 않은 보안 허점인 '제로데이'를 찾아내는 도구가 될 수 있다. 영국 정부기관 인공지능보안연구소(AISI)의 사이버 공격력 시험에서는 약 70% 확률로 원하는 정보를 빼내는 데 성공했다. 앤트로픽의 AI 모델은 '하이쿠', '소네트' 등 문학 용어를 이름으로 쓰는데, 미토스는 고대 그리스어로 '신화'를 뜻한다. 니혼게이자이신문(닛케이)은 18일 일본 정부가 이날 관계부처 회의에서 클로드 미토스 대책을 논의한다고 보도했다. 정보시스템 제공 업체에 AI를 활용한 취약점 점검을 요구하고, 기업용 사이버 방어 지침과 정부·지자체 시스템 점검, 민관 정보 공유 체계를 마련하는 방안이 담겼다. 회의는 마쓰모토 나오 디지털상이 주재하며, 경제산업성, 금융청, 후생노동성, 국토교통성 등이 참여한다. 악용 우려 때문에 앤트로픽은 미토스를 사용할 수 있는 대상을 미국 중심의 약 50개 기업·기관으로 제한해 왔다. 대상에는 구글, 애플, 엔비디아 같은 미국 빅테크와 사이버 보안 기업 크라우드스트라이크 등이 포함된 것으로 알려졌다. 일본 정부 산하 AI세이프티인스티튜트(AISI)도 앤트로픽에 미토스 사용을 타진했지만, 이달 초까지만 해도 접근권을 확보하지 못한 상태였다. 반면 미토스를 이미 쓰고 있는 곳에서는 구체적인 성과가 나오고 있다. 브라우저 파이어폭스를 지원하고 있는 미국 모질라 재단은 미토스가 최신 브라우저에서 취약점 271개를 찾아냈다고 밝혔다. 파이어폭스에 보고되는 취약점이 월 10~20개 수준이었던 점을 감안하면 단기간에 연간 처리량을 크게 웃도는 성과다. 앤트로픽은 일본을 비롯해 제공처를 넓힐 계획이지만, 미국 정부가 안보상 이유로 공개 범위 확대에 반대하고 있어 일본의 접근권 확보는 불투명하다. 일본 정부는 앞서 미토스 관련 대비 범위를 금융권에서 사회 인프라 전반으로 넓히는 방안을 검토해 왔다. 일본 3대 은행은 이미 미토스 접근권을 확보해 시스템 안전 점검에 나섰고, 정부는 금융·정보통신·전력·수도·가스·공항·철도·의료·행정 서비스 등 15개 중요 인프라 분야로 점검 대상을 확대할 방침이다. 지침에는 고성능 AI로 시스템 취약점을 찾아내고 보완하는 절차, 사이버 방어 체계 운영 방식 등이 담길 전망이다. 미토스를 쓰지 못하는 기업에는 다른 AI를 활용해 취약점을 점검하도록 하고, 취약점이 발견된 제품은 패치 적용 등을 통해 보완한 뒤 다시 제공하도록 요청할 방침이다. 대상은 민간 기업에 그치지 않는다. 중앙 정부와 지방자치단체의 정보시스템도 취약점 점검 대상에 포함된다. 정부는 국가사이버총괄실에 AI를 활용한 사이버 방어 관련 정보를 모으고, 기밀성이 높은 정보를 다룰 때 AI를 어떻게 활용할지도 검토하기로 했다. AISI와 연계해 민관이 정보를 공유하는 체계를 만들고, 미국·영국 등 주요국 AISI 기관과의 협력도 추진한다. 전력회사와 통신사, 철도·공항 운영사, 병원, 금융기관 등 사회 기반 서비스를 담당하는 사업자도 점검 대상에 오른다. 일본 정부는 이들 사업자의 경영진에게 보안 체계 점검과 예산·인력 확보를 요청하고, 사이버 공격으로 제품이나 서비스 공급이 중단될 위험에 대비하도록 촉구할 방침이다. 미토스 논란은 AI가 사이버 공격의 도구가 될 수 있다는 위험성과, 이를 막는 쪽도 AI 없이는 공격 속도를 따라잡기 어렵다는 현실을 함께 보여준다. 일본 정부가 시스템 제공 업체와 중요 인프라 사업자에 AI 기반 점검을 요구하는 것도 사이버 방어의 축이 사람 점검에서 AI 상시 점검으로 옮겨가고 있다는 판단에서다.