【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]7월 '미토스 쇼크' 골든타임 끝나는데…"위협 모델링 없인 대응 어렵다"

온카뱅크관리자

2026-05-13 15:17:30

<div id="layerTranslateNotice" style="display:none;"></div>  
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="xJEEsbV7Sn">
          <figure class="figure_frm origin_fig" contents-hash="0c852d94d9e9d266c0926100ebf70a2cd456bba17dda4a4632e5400c1b0f4ad0" dmcf-pid="yXzz9rIkCi" dmcf-ptype="figure">
           <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/13/552796-pzfp7fF/20260513151512982wvfa.jpg" data-org-width="640" dmcf-mid="P1QQdYZvSo" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/13/552796-pzfp7fF/20260513151512982wvfa.jpg" width="658"></p>
          </figure>
          <p contents-hash="f3e7bfa6e273f9322b0c54e6e2a2627f6a683bca2e5ffaa5d4a0cf291354f482" dmcf-pid="WZqq2mCEWJ" dmcf-ptype="general">[디지털데일리 김보민기자] 앤트로픽 인공지능(AI) 모델 미토스가 발굴한 보안 취약점 정보가 7월 전면 공개될 전망이다. 해커가 이를 악용할 가능성이 점쳐지는 가운데 '위협 모델링' 전략으로 승부를 봐야 한다는 의견이 제기됐다.</p>
          <p contents-hash="b0dfc0ec914aef36414abd2990be18982d775462e085fa900112f6588afe5ce6" dmcf-pid="Y5BBVshDvd" dmcf-ptype="general">김승주 고려대 정보보호대학원 교수는 13일 서울 영등포구 FKI타워에서 열린 '아톤 시큐리티 서밋 2026' 기조연설을 통해 "미토스 관련 취약점 4000개가 7월 공개될 것"이라며 "공격 경로를 식별하는 위협 모델링이 주목받는 이유"라고 밝혔다.</p>
          <p contents-hash="06664ac55dd6ff49cd014ed55291edd1d60b313e978781946fef55ac7371f28e" dmcf-pid="Gu88MTGhve" dmcf-ptype="general">업계에 따르면 미토스가 찾아낸 대규모 취약점은 앤트로픽이 이끄는 '프로젝트 글래스윙' 정책에 따라 공개된다. 해당 정책이 지난 4월 처음 알려졌다는 점을 고려했을 때, 공개 시점은 7월로 예상된다. 앤트로픽은 보안 특화 AI 모델은 아니지만 소프트웨어 취약점(SW)과 오래된 보안 결함을 찾아내는 데 능한 것으로 알려져 주목을 받고 있다.</p>
          <p contents-hash="a14922d6c897e97622c510835625f17c2fa0b317d72562e82ab900b86f5944ac" dmcf-pid="H766RyHlhR" dmcf-ptype="general">김 교수는 국내 기업들이 위협 모델링에 약하다는 점을 지적했다. 그는 "국내에서는 취약점 4000개를 다 고치자고 말하거나 정부가 우선순위를 식별해주면 좋겠다고 이야기한다"며 위협 모델링이 일반화되지 않은 국내 현실을 꼬집었다. 그러면서 "외국은 조직마다 위협 모델링을 갖추고 있고, 위협이 들어올 길목에 (시스템 등) 배치를 어떤 식으로 바꿔볼까 고민하고 있다"고 말했다.</p>
          <div contents-hash="af888f49c514cec77adfeba2aa784bf3686c7b7bb17e933d924f1b80b80f104b" dmcf-pid="XzPPeWXSCM" dmcf-ptype="general">
           위협 모델링은 시스템, 애플리케이션, 네트워크 및 서비스를 보호하는 기법이다. 시스템에 필요한 모든 요구사항과 데이터 흐름도를 지도처럼 그려, 잠재적인 위협을 식별하고 개발 초기 단계에 위험을 줄이도록 하는 것이 핵심이다.
          </div>
          <figure class="figure_frm origin_fig" contents-hash="52f46ebde9232619c67e1d16da41122fc643bf983861f00aa75963f2cb1f04c3" dmcf-pid="ZqQQdYZvCx" dmcf-ptype="figure">
           <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/13/552796-pzfp7fF/20260513151514320zdiw.jpg" data-org-width="540" dmcf-mid="QVJJg10HyL" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/13/552796-pzfp7fF/20260513151514320zdiw.jpg" width="658"></p>
          </figure>
          <p contents-hash="4196bd07a69110d32b3ad7a062729ae3eee274df94994500881ff350e3c692f8" dmcf-pid="5BxxJG5TlQ" dmcf-ptype="general">국가정보원이 주도하는 국가망보안체계(N2SF)에도 위협 모델링이 핵심 기법으로 거론되고 있다. N2SF 가이드라인에 따르면 위협 모델링은 정보시스템에서 발생 가능한 구조적 위협을 사전에 식별하고 그에 대한 보안 대책을 수립하는 데 효과적이다. 실제 정보서비스 구조에서 핵심 요소만 단순화해 보안 위협을 파악할 수 있다고도 명시돼 있다.</p>
          <p contents-hash="fac28a97d91d812c645eeb6d694bcdfcfbe97d831b47f18ea4ba75eb8cf57c94" dmcf-pid="1bMMiH1yWP" dmcf-ptype="general">김 교수는 "조직 전산 시스템을 아키텍처 형태로 표시하고 목표 시스템을 추상화시킨 뒤 이를 시뮬레이션하는 것이 핵심"이라며 "세부적인 정보가 나오지 않는다는 목소리가 많은데 이는 위협 모델링을 제대로 하지 못했기 때문"이라고 꼬집었다. 이어 "대기업조차도 위협 모델링을 엉터리로 하기도 한다"고 분위기를 전했다.</p>
          <p contents-hash="6eb4a14c3424fee5a51671c0fff341a426f9ebfeb47340e535d8805d5eb0bd6f" dmcf-pid="tKRRnXtWy6" dmcf-ptype="general">이날 김 교수는 국내에서 N2SF 도입이 늦어지고 있다고 평가했다. 위협 모델링뿐만 아니라 데이터 분류 측면에서도 역량이 부족해 현장 혼선이 이어지고 있다는 취지다. N2SF는 업무, 시스템, 데이터 중요도에 따라기밀(C), 민감(S), 공개(O) 등급으로 분류하고 보안 정책 을 차등 적용하는 것이 핵심이다.</p>
          <p contents-hash="979d8c2c0ff4f962ef1268789a460c35f27451fb162c84bb9d1a02cda27ee307" dmcf-pid="F9eeLZFYW8" dmcf-ptype="general">보안 기본기가 부실하다는 점도 지적했다. 김 교수는 "일반 기업들이 N2SF를 어렵게 느끼는 이유는 기초 체력이 부실하기 때문"이라고 밝혔다. 그러면서 "정부와 기업들은 오래전부터 보안 내재화가 중요하다고 말하며 많은 평가 인증 제도를 마주해왔다"며 "다만 본질적인 철학을 제대로 이해하지 못하고 운영된 측면이 있고, 평가 인증 제도 또한 본질에 접근하지 못하는 실정"이라고 진단했다. 이어 "(N2SF와 같이) 선진국형 망분리 개선안이 나왔을 때 따라 하기 어려운 이유"라고 강조했다.</p>
          <p contents-hash="ba51bfec827bc4c1c4bf9697f2f222bd8779dee37800d635abfd9ddaab06da2b" dmcf-pid="32ddo53Gv4" dmcf-ptype="general">미토스를 비롯해 새로운 위협이 고도화될 가능성이 점쳐지는 만큼 전환점에 도달했다고도 평가했다. 김 교수는 "지난해 보안 사고를 보면, 모두 자산 파악에서 누락된 섀도 IT가 존재했다"며 "AI 시대로 넘어왔기 때문에 이러한 흐름은 더욱 가속화될 것"이라고 경고했다.</p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p>

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기