“AI 공격 비용 0에 수렴”…화이트해커가 본 ‘미토스 쇼크’ 대응 방법

▲13일 여의도 FKI타워에서 열린 '아톤 보안 컨퍼런스'에서 박세준 티오리 대표가 발표를 진행하고 있다. 김연진 기자 yeonjin@

화이트해커 출신인 박세준 티오리 대표가 “미토스급의 인공지능(AI) 모델이 중국에서 수개월 안에 나올 것”이라며 “골든타임 안에 제대로 대응하지 않으면 큰 쓰나미에 휩쓸릴 수 있다”고 경고했다.

박 대표는 13일 서울 영등포구 FKI타워에서 열린 ‘아톤 시큐리티 서밋 2026’에서 “미토스는 보안 특화 모델이 아니라 범용 모델”이라며 “똑똑한 범용 모델 경쟁은 계속 있어 왔는데 미국과 중국의 기술 격차는 6~12개월밖에 안 났다”고 말했다.

박 대표에 따르면 AI 코딩 에이전트의 등장으로 코드 생산량이 급증한 가운데 취약한 패턴을 가지고 만들어지는 코드는 40%에 달한다. 문제는 AI의 코드 생산 속도가 인간의 검증 속도를 이미 넘어섰다는 점이다. AI가 코드를 만드는 속도가 사람이 점검하는 속도를 앞지른 가운데 그동안 알려지지 않았던 ‘제로데이’ 취약점까지 AI가 찾아내고 있다.

박 대표는 “과거에는 탑클래스 해커들이 1년에 3~4개 정도의 취약점을 발견하는 수준이었는데 AI가 등장하면서 취약점 탐지에 걸리는 시간이 몇 분 수준으로 줄었다”며 “AI 자동화로 해킹 비용이 사실상 ‘0’에 가까워지는 시대”라고 말했다.

기업들의 인공지능 전환(AX)이 가속화하면서 공격 표면도 넓어졌다. 박 대표는 “기업에 AI를 도입하면서 생기는 문제의 97%는 접근 제어가 제대로 되지 않기 때문”이라며 “AI를 똑똑하게 만들기 위해 분리돼 있던 데이터를 한곳으로 모으면서 AI를 통한 데이터 유출 사례가 발생하고 있다”고 지적했다.

다만 박 대표는 AI가 공격뿐 아니라 방어에도 활용될 수 있다는 점을 강조했다. 그는 “이제는 누가 먼저 AI를 방어·운영할 때 투입하는가라는 질문으로 넘어왔다”며 “실제 침해 사고 대응 시간을 80일 정도 줄여주는 등 AI는 공격자만의 무기가 아니라 방어자에게도 강력한 수단”이라고 설명했다.

그동안 사람이 검증하던 코드와 액션을 AI 기반으로 검토할 수 있는 시스템을 만들어야 한다는 게 박 대표의 구상이다. 박 대표는 “단순히 인력을 줄이는 게 아니라 정밀한 판단이 필요한 영역에 사람을 잘 배치하는 것이 중요하다”며 “AI가 만든 코드가 안전한지 증명할 수 있는 팀이 경쟁력을 가지게 될 것”이라고 강조했다.

이날 진행된 보안 컨퍼런스는 아톤이 창사 26년 만에 단독 주관한 첫 행사다. 박상원 금융보안원장, 김승주 고려대 정보보호대학원 교수, 김홍선 김앤장 고문 등 전문가들이 ‘실행하는 보안, 실현하는 전략’을 주제로 AI 보안, 제로트러스트, 클라우드보안, 양자컴퓨팅 등 현장에서 바로 실행할 수 있는 보안 전략을 공유했다.

김승주 고려대 정보보호대학원 교수는 7월 미토스의 보안 취약점 발표를 앞두고 위협 모델링(threat modeling) 체계 구축의 중요성을 강조했다. 그는 “미토스가 찾아낸 4000여 개 보안 취약점이 한꺼번에 쏟아지면 위협 모델링을 갖춘 해외는 중요한 취약점부터 우선 차단하면서 대응 시간을 확보할 것”이라며 “반면 국내는 위협 모델링 체계가 없어 우선순위 식별 없이 한꺼번에 패치하려고 한다”고 지적했다.

우길수 아톤 대표는 “양자 암호체계 전환 등 보안규제 환경이 빠르게 재편되고 있지만 현장에서는 ‘보안 솔루션을 도입했는데 왜 사고는 반복되는지’ 묻는다”며 “기술의 부족이 아니라 전략과 실행체계의 부재 때문”이라고 지적했다. 이어 “아무리 뛰어난 기술도 조직이 실제로 움직이지 않으면 의미가 없다”며 “보안은 결국 실행의 문제”라고 강조했다.

정현석 아톤 시큐리티센터장은 “미토스로 바이브 코딩을 넘어 바이브 해킹까지 가능할 것이란 전망이 나온다”며 “AI 시대 보안 정책은 AI 기반의 자율 보안 체계로 전환될 것”이라고 말했다. 그는 “통제가 안 된 AI의 사용 차단이 ‘제로트러스트’의 기본”이라며 “기업의 보안 역량이 내재화 불가능 영역으로 가면서 ‘외부협력체계’ 구축 필요성이 커질 것”이라고 덧붙였다.