【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스][미토스 충격③] 오픈소스 뚫는 ‘미토스’, 방어막 없는 한국 현주소

온카뱅크관리자

2026-04-16 11:17:31

<div id="layerTranslateNotice" style="display:none;"></div>  
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="5DZ3QpcnTo">
          <div contents-hash="3964de4ed588d650d27b40e1a0446bddb5fc2f514029391ecfc9252902525cbb" dmcf-pid="1cG18FNdTL" dmcf-ptype="general">
           <strong>AI가 설계하는 공격 시나리오가 현실화되면서 사이버 보안의 판도가 뒤바뀌고 있다. 디지털데일리는 6회에 걸쳐 [미토스 충격] 기획기사를 통해 정부부터 산업 현장까지의 전방위적 대응 태세를 살피고, AI 위협 시대에 한국 보안 생태계가 나아가야 할 이정표를 제시한다.[편집자]</strong>
          </div>
          <figure class="figure_frm origin_fig" contents-hash="1202e1f7dffc5cfbbd376bc7967319b7fe163fe186986e41c8d25a8cda6010f2" dmcf-pid="tkHt63jJCn" dmcf-ptype="figure">
           <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/16/552796-pzfp7fF/20260416111506875bccc.png" data-org-width="640" dmcf-mid="Zo4xwRHlvg" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/16/552796-pzfp7fF/20260416111506875bccc.png" width="658"></p>
          </figure>
          <p contents-hash="6229060c1ec5c6f739a699a90c8090cee3744e39047d3d5fb0b308d3a2f7e19a" dmcf-pid="FEXFP0Aihi" dmcf-ptype="general">[디지털데일리 이안나기자] 오픈소스 소프트웨어 허점을 찾아내는 데 사람보다 인공지능(AI)이 더 뛰어난 시대가 왔다. 문제는 그 AI를 방어에 쓰느냐 공격에 쓰느냐다. 글로벌 빅테크들이 AI를 보안 에이전트로 전환하며 공격과 방어 양측 모두에서 기술 경쟁이 가속화하는 가운데 국내는 기초 정책 정비조차 마치지 못한 채 이 흐름을 마주하고 있다.</p>
          <p contents-hash="5d4bd4bb8e17550c010d4783e473e3d355754a6b4643dd38cfc5dfe319375e5a" dmcf-pid="3DZ3QpcnhJ" dmcf-ptype="general">16일 IT업계에 따르면 AI를 활용해 오픈소스 보안 허점을 탐지하는 시도는 이미 수년 전부터 이어져 왔다. 대표적인 방식이 ‘퍼징(Fuzzing)’이다. 수백만 개 입력값을 무작위로 던져 소프트웨어 오류를 유발하는 방식으로, 쉽게 말해 무수히 두드려보다 허점이 드러나면 잡아내는 원리다.</p>
          <p contents-hash="fe17d2b7750efc006202cadb952a06381ebe27134541ad3feddc283283ff11cc" dmcf-pid="0w50xUkLvd" dmcf-ptype="general">백만 개를 던져 한두 개를 찾아낼 만큼 타율은 낮지만 기계가 쉬지 않고 반복한다는 점에서 유효했다. 다만 허점을 발견한 뒤엔 사람이 직접 코드를 들여다보며 원인을 추적하는 ‘디버깅’ 작업이 뒤따랐다. 어디서 무엇이 잘못됐는지 하나하나 짚어내는 이 과정은 시간과 전문성이 모두 필요한 영역이었다.</p>
          <p contents-hash="dcbb00e5bdbd2b09c71e24a9962aaabfb75fea82e25ab886319d858f995cd124" dmcf-pid="pr1pMuEole" dmcf-ptype="general">그러나 최근 등장한 AI는 이 과정을 통째로 바꾸고 있다. 앤트로픽이 지난 7일 일부 기업·기관에 제한 공개한 차세대 모델 ‘미토스(Mythos)’는 퍼징 방식 대신 소프트웨어가 실행되는 과정을 직접 들여다보며 데이터 흐름의 이상 징후를 추적한다. 숙련된 개발자가 코드를 눈으로 보며 수상한 부분을 짚어내듯 디버깅 자체를 AI가 수행하는 것이다.</p>
          <p contents-hash="0628f0ea29916d099269aacefa4595b41a21d9782e0506ef8c494a43711ad896" dmcf-pid="UmtUR7DgTR" dmcf-ptype="general">정성인 한국전자통신연구원(ETRI) 오픈소스 전문위원은 “원래 디버깅은 사람이 코드를 머릿속에 담아두고 메모리 상태나 데이터 흐름의 이상한 부분을 눈으로 찾아내는 작업”이라며 “미토스는 그 과정을 스스로 수행하다 보니 사람보다 더 잘 찾아낼 수 있는 것”이라고 말했다.</p>
          <p contents-hash="6dee1ea158ad228515f7ae7cc6d2eeaeec397a8a98dae75faf45736b7bf5e16b" dmcf-pid="usFuezwahM" dmcf-ptype="general">실제 미토스는 보안성으로 유명한 오픈소스 운영체제 오픈BSD에서 27년간 발견되지 않았던 허점을 찾아내기도 했다.</p>
          <p contents-hash="3eead2ea082d2f014f6c28ac52e0d43ab9a5d4d3f9d00ead1e8ec50e08cba223" dmcf-pid="7O37dqrNWx" dmcf-ptype="general">앤트로픽은 이 같은 능력이 악용될 경우를 우려해 일반에 공개하는 대신 핵심 파트너사에만 제한 배포하는 ‘프로젝트 글래스윙(Project Glasswing)’을 발족했다. 과학기술정보통신부도 전날 기업 정보보호최고책임자(CISO)들에게 긴급 협조 공문을 발송하며 AI를 활용한 오픈소스 감염 등 보안 위협에 주의를 당부했다.</p>
          <p contents-hash="75b3e75edde2ce118c0cdd2ea9f78714d1038d8101ac034a4d0d5f65c9ab03fa" dmcf-pid="z18MreXSvQ" dmcf-ptype="general">장일수 한국오픈소스협회장은 “해커와 화이트해커는 결국 같은 기술을 쓴다”며 “보안 허점을 잘 찾는 AI가 등장했다는 건 그 AI를 공격에 활용하는 이들도 나온다는 의미”라고 설명했다. 보안 전문가들 사이에서도 AI로 인한 역할 변화를 우려하는 목소리가 나온다.</p>
          <p contents-hash="7b119f10248651ea89490ee635e5268bf0fd84890b6fe2adcd089a68b03cc257" dmcf-pid="qt6RmdZvTP" dmcf-ptype="general">글로벌 빅테크들이 방어 측 AI 고도화에 나선 것도 이런 맥락에서다. 깃허브(GitHub)는 코드 작성 초기 단계에서 AI가 보안 문제를 감지하는 기능을 준비 중이다. 취약점을 배포 이후가 아닌 개발 단계에서 잡겠다는 접근이다.</p>
          <p contents-hash="9ddec24ab8adaae7b66453dcb5d202d2907a025347b90120003e4eab10957ede" dmcf-pid="BFPesJ5Tv6" dmcf-ptype="general">오픈AI는 코드 전체를 분석해 허점을 찾고 별도 격리 환경에서 실제로 재현한 뒤 수정 방안까지 제안하는 에이전트를 내놓으며 한발 더 나아갔다. 깃허브 시큐리티랩은 이미 이 같은 방식으로 오픈소스 프로젝트 80개 이상의 취약점을 발굴했다. AI가 취약점을 더 많이 찾는 수준을 넘어 사람이 해오던 우선순위 판단과 검증까지 대신하는 단계로 접어든 것이다.</p>
          <p contents-hash="90d1f00c24e09d7a16035585d3b5d731918438db21eb574030dbd71f003e2daf" dmcf-pid="b3QdOi1yS8" dmcf-ptype="general">반면 국내에서 LLM을 보안 실무에 도입하기엔 아직 정확성과 일관성이 부족하다는 평가가 많다. 기술 대응이 초기 단계인 가운데 정책 논의도 속도를 내지 못하고 있다.</p>
          <p contents-hash="0ca7ffa251dac230eb62bd82b163e01d5c682b43293baa4b385ff25801101b25" dmcf-pid="K0xJIntWh4" dmcf-ptype="general">소프트웨어에 포함된 오픈소스 구성요소를 목록화해 라이선스와 보안 문제를 관리하려는 ‘소프트웨어자재명세서(SBOM)’ 의무화 논의는 3년째 제자리다. 관련 사업이 실증 단계에 머물러 있는 데다 기업들이 실제 개발·운영 환경에 적용하기 위한 제도적 기반과 시장 형성도 아직 초기 수준이라는 평가가 나온다.</p>
          <p contents-hash="237d7fa8e97952d762ec24d5a898390c9deaf949d1df240e047f41b6e7404f79" dmcf-pid="9pMiCLFYhf" dmcf-ptype="general">그 사이 AI 모델 구성요소와 데이터 출처까지 관리해야 한다는 새로운 과제가 얹혔다. 장 협회장은 “SBOM 정책이 안착하기도 전에 AI 모델 관리 논의가 등장했고 미토스 같은 위협까지 가중됐다”며 “정책 하나가 마련되기 전에 더 큰 과제들이 계속 쌓이고 있다”고 전했다. 정 전문위원도 “AI로 오면 모델 라이선스, 데이터 저작권, 보안 취약점이 한꺼번에 얽힌다”며 “정책이 만들어지는 속도보다 기술이 앞서가고 있다”고 우려했다.</p>
          <p contents-hash="ee9800ff68ee6abc4a5cea797b13cbad39d128e26a4b1aedebabc29de94cf25d" dmcf-pid="2URnho3GCV" dmcf-ptype="general">방어용 AI와 공격용 AI가 동시에 진화하는 지금 글로벌은 이미 에이전트 경쟁 단계로 접어들었다. 정책 공백이 장기화하는 사이 업계에서는 자구책 마련에 나서는 움직임도 나타나고 있다. 한국오픈소스협회가 AI 모델별 특성과 실전 활용 전략을 주제로 기업 대상 교육과 컨설팅을 시작한 것도 그 일환이다. 장 협회장은 “AI 오픈소스 사용이 늘면서 생길 문제들을 협회 차원에서도 고민하고 대응 방향을 찾아가야 할 시점”이라고 말했다.</p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p>

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기