인공지능(AI)의 역할이 텍스트 요약이나 코드 작성을 넘어 국가 기반시설의 보안을 책임지는 단계로 빠르게 진화하고 있습니다. 앤스로픽이 보안 취약점 점검 프로그램 ‘프로젝트 글래스윙(Project Glasswing)’과 보안 특화 모델 ‘클로드 미토스(Claude Mythos)’의 접근 권한을 전 세계 15개국, 150여 개 기관으로 대폭 확대했다는 소식은 AI 산업의 무게 중심이 ‘생산성’에서 ‘안전과 신뢰’로 근본적으로 이동하고 있음을 보여줍니다.
한국의 공공기관과 에너지, 의료, 통신 등 국가 핵심 인프라 운영 기업들에게 이번 소식이 매우 중요한 이유는 분명합니다. 한국은 세계 최고 수준의 디지털 연결성을 자랑하는 만큼, 한 번의 사이버 공격이 전력망 마비, 의료 시스템 붕괴, 통신 두절 같은 물리적 재난으로 직결될 위험이 높기 때문입니다. 2023년 한국 관련 사이버 공격 사건을 보면 금융 시스템, 전력 인프라 등을 겨냥한 고도화된 공격이 빈번해지고 있습니다. 앤스로픽의 이번 행보는 AI가 단순한 업무 보조 도구를 넘어 사이버 공격으로부터 물리적 인프라를 선제적으로 방어하는 ‘능동적 방어 계층’으로 기능할 수 있음을 증명합니다.
이러한 움직임이 2026년 상반기에 집중되는 이유는 AI 모델의 대중화에 따른 ‘보안 위험의 확산’이라는 현실적 위협 때문입니다. 거대언어모델(LLM)의 성능이 향상될수록 공격자들도 AI를 활용해 정교한 악성 코드를 자동 생성하고, 시스템 취약점을 찾는 능력을 갖춰가고 있습니다. 실제로 보안 연구 기관들은 공격 난이도가 과거 대비 30~40% 낮아졌다고 보고하고 있습니다. 이에 맞서기 위해 앤스로픽은 AI의 보안 취약점을 사전에 발견하는 ‘미토스’ 같은 특화 모델로 공격이 발생하기 전 방어 체계를 구축하는 ‘보안 중심적 AI(Security-first AI)’ 전략을 적극 추진 중입니다.
이번 변화가 가져올 장단점은 명확하게 대비됩니다. 긍정적인 측면부터 보면, AI 기반 자동화 보안 점검으로 인적 오류를 획기적으로 줄일 수 있고, 전력, 수자원, 의료 같은 핵심 인프라의 보안 위협을 24시간 실시간 감지하며 대응 시간을 기존 대비 50% 이상 단축할 수 있습니다. 이는 곧 사회적 비용 절감과 직결되는 결과입니다. 예를 들어 2011년 동일본 대지진 당시 일본의 원전 냉각 시스템 점검 지연으로 인한 경제 손실은 약 2,350억 달러에 달했습니다. AI 기반 실시간 모니터링이 당시 있었다면 상당 부분 피할 수 있었을 것입니다.
하지만 신중하게 검토해야 할 위험 요소도 존재합니다. 특정 글로벌 기업의 AI 보안 모델에 국가 핵심 인프라의 보안 로직을 의존하게 될 경우 ‘AI 주권’ 문제가 심각해질 수 있습니다. 만약 해당 모델의 알고리즘에 숨겨진 결함이 있거나, 서비스 공급망 중단, 정부 규제 변화 등으로 인해 서비스가 중단된다면 국가적 재난으로 이어질 수 있는 리스크를 안게 되는 것입니다. 또한 AI 모델이 수집하는 보안 데이터와 취약점 정보가 해당 기업에 저장되면서 발생하는 정보 주권 문제도 간과할 수 없습니다.
한국의 IT 의사결정권자와 보안 전문가들이 취해야 할 실질적 전략을 제시하자면 다음과 같습니다. 첫째, 기존 보안 감사 프로세스에 ‘AI 보안 감사(AI Security Auditing)’ 항목을 공식화해야 합니다. 단순한 챗봇 형태의 AI 사용을 넘어 인프라 운영에 사용되는 모든 AI 모델의 취약점을 점검하는 ‘레드팀(Red Teaming)’ 활동에 클로드 미토스 같은 보안 특화 모델을 어떻게 안전하게 도입할지 검토해야 합니다. 둘째, 글로벌 AI 모델의 성능을 맹신하기보다는 한국의 특수한 네트워크 환경과 정보통신기반보호법, 개인정보보호법 같은 규제 요구사항을 반영한 ‘하이브리드 보안 체계’를 구축하는 것이 장기적 생존 전략이 됩니다. 셋째, 국내 AI 보안 모델 개발 생태계 조성에 정부와 기업이 함께 투자하여 보안 주권 확보의 기초를 마련해야 할 시점입니다.
출처: 원문 보기