금융위, 15일 긴급 소집령

앤트로픽(Anthropic)의 차세대 인공지능(AI) 모델 '클로드 미토스(Claude Mythos)'가 자율적 사이버 공격 능력을 갖춘 것으로 확인되면서, 한국을 포함한 주요국 금융당국이 일제히 비상 대응 체계에 돌입했다. 금융위원회는 15일 권대영 부위원장 주재로 금융감독원·금융보안원·은행·보험권 최고정보보호책임자(CISO)를 긴급 소집해 미토스 관련 점검 회의를 열었다.

이번 회의는 13일 금감원 차원의 1차 긴급 협의에 이은 후속 조치다. 금융위 고위 관계자는 "보안 전문가, 금융회사들과 함께 어떤 리스크가 발생할 수 있는지 들여다보고 있다"며 "현안을 파악한 후 대응 방안을 논의 중"이라고 밝혔다.

왜 지금, 왜 미토스인가

미토스가 기존 AI와 결정적으로 다른 점은 '자율성'에 있다. 복수의 외신 및 관련 업계 보도에 따르면, 미토스는 주요 소프트웨어에서 수천 건의 고위험 취약점을 스스로 탐색하고, 여기서 나아가 실제 공격 코드까지 자율 생성할 수 있다. 기업망 외부 침투부터 데이터 탈취까지 복합 공격 체인을 사람의 개입 없이 실행할 수 있다는 점에서, 보안 전문가들은 이를 '패러다임의 전환'으로 평가하고 있다.

앤트로픽은 미토스 존재를 공식 인정하면서 이 모델이 "전례 없는 사이버보안 위험을 제기한다"고 직접 명시했다. 모델 관련 정보는 보안 처리가 되지 않은 공개 데이터 캐시에 임시 저장됐다가 외부에 유출되면서 전 세계에 알려졌다. 앤트로픽은 현재 일부 초기 접근 고객을 대상으로 시범 운용 중이라고 밝혔다.

금융 인프라는 특히 취약하다. 결제·송금 시스템이 미토스 수준의 AI에 침투당할 경우, 단순한 데이터 유출을 넘어 금융 시스템 전체가 마비될 수 있다는 우려가 현실로 떠오르고 있다.

글로벌 공조 vs. 각자도생

한국의 대응은 글로벌 흐름과 맥을 같이한다. 미국 재무부와 연방준비제도(Fed), 영국 중앙은행과 금융감독청(FCA)이 잇따라 긴급 협의를 개최했으며, 캐나다 등 주요국도 유사한 움직임을 보이고 있다. 국제 금융 시스템이 AI 기반 대규모 사이버 공격에 충분히 대비하지 못하고 있다는 인식이 빠르게 확산되고 있다.

국내에서는 과학기술정보통신부도 14일 각 기업 CISO와 긴급 점검 회의를 열어 AI 기반 위협에 대비한 보안 점검을 당부했다. 13일 금감원 회의에서 금융사들은 엔드포인트 탐지·대응(EDR) 구축, 제로트러스트 보안 체계 전환, 레드팀 운영, 공격표면관리(ASM) 강화 등의 단기 대응 계획을 공유한 것으로 전해졌다.

AI 보안 위협의 역사적 맥락

이번 사태는 하루아침에 벌어진 일이 아니다. 2022년 말 챗GPT(ChatGPT) 등장 이후, AI는 불과 2년여 만에 사이버보안 분야의 공격 도구로 진화해왔다. 2023년부터 기업 환경에서 AI 활용이 폭발적으로 늘면서, 해킹 집단도 AI를 피싱 메일 자동 생성이나 취약점 스캐닝에 활용하기 시작했다.

2024년에는 대규모 언어모델(LLM)을 악용한 자동화 공격 사례가 본격 보고되기 시작했고, 보안 업계는 'AI 대 AI' 구도의 사이버전이 임박했다고 경고해 왔다. 미토스는 그 임계점을 넘은 첫 번째 모델로 평가받는다. 기존 AI 도구가 공격자의 '보조 수단'이었다면, 미토스는 스스로 목표를 설정하고 공격을 설계·실행하는 '주체'로 기능할 수 있다는 점이 결정적 차이다.

국제 금융 시스템이 디지털화되고 상호 연결성이 높아질수록, 단일 취약점이 연쇄 붕괴를 일으킬 수 있는 구조적 리스크도 커졌다. 2016년 방글라데시 중앙은행 해킹 사건(8,100만 달러 탈취)이나 2021년 콜로니얼 파이프라인 공격은 금융·인프라 사이버 공격의 파급력을 이미 입증한 바 있다.

앞으로의 전망 [전문가 분석]

미토스 사태는 향후 AI 거버넌스 논의를 근본적으로 재편할 가능성이 높다. 지금까지 AI 규제 논의가 허위정보나 저작권 문제에 집중됐다면, 이제는 '자율 공격 역량'을 가진 모델에 대한 접근 제한과 감사(audit) 의무화가 핵심 의제로 부상할 것으로 예상된다.

금융 부문에서는 방어 체계의 재설계가 불가피해질 가능성이 높다. EDR·제로트러스트 같은 현재의 방어 도구들은 인간 해커를 전제로 설계된 것들이 많아, AI가 자율적으로 새로운 공격 벡터를 생성할 경우 무력화될 수 있다. 보안 업계에서는 '탐지'에서 '예측·예방' 중심으로의 패러다임 전환이 가속화될 것으로 보고 있다.

한국의 경우, 고도로 디지털화된 금융 인프라와 촘촘하게 연결된 간편결제·인터넷뱅킹 생태계가 오히려 공격 표면을 넓힌다는 점에서 취약성이 크다. 금융당국의 신속한 대응은 평가할 만하지만, 단기 점검을 넘어 AI 시대에 맞는 상시 감시 체계와 국제 공조 프레임 구축이 시급한 과제로 남아 있다.

미토스와 유사한 수준의 모델이 복수의 기업에서 동시 개발되고 있을 가능성도 배제할 수 없다. 한 차례의 긴급 점검으로 끝내기보다, AI 사이버 위협을 금융 시스템 리스크 관리 체계 안에 영구적으로 편입시키는 제도적 전환이 필요한 시점이다.