[전문가기고] '미토스'가 바꾼 보안 전제 : 아무것도 믿지 말라

2026년 4월 7일, 미국 재무부는 월스트리트 주요 은행 CEO들을 워싱턴으로 긴급 소집했다. 의제는 인공지능(AI) 기업 앤트로픽의 '클로드 미토스'가 촉발할 사이버 안보 위협이었다. 미토스는 해커 개입 없이 취약점을 찾고 자율 공격을 수행하는 능력을 보이며, 국가 금융 인프라를 위협할 수 있는 수준으로 평가됐다. 이는 AI 시대 사이버 위협 패러다임 전환의 신호탄이다.

지금까지 고도화된 공격은 소수 전문 해커에 의존해 왔다. 하지만 자율형 공격 AI는 이 전제를 무너뜨렸다. AI는 인간이 오랜 기간 발견하지 못한 제로데이 취약점을 단시간에 수천개 단위로 찾아내고, 침투부터 권한 상승, 횡적 이동, 데이터 탈취까지 공격 체인을 스스로 완성한다. 단순 명령만으로도 최상급 해커 조직 수준의 공격이 가능해진 것이다.

국내 현실은 취약하다. 최근 통신사, 이커머스, 금융사 침해 사고는 대부분 네트워크 미분리, 퇴직자 인증키 미폐기, 이상 징후 탐지 부재 등 기본기 붕괴에서 비롯됐다. 이러한 환경이 AI의 자동화된 탐색에 노출될 경우 피해는 더욱 커질 수밖에 없다.

전통 보안은 방화벽과 사후 탐지에 의존해 왔다. 그러나 AI는 새로운 공격을 생성해 탐지를 무력화하고, 인지 이전에 공격을 끝낸다. 즉, 사후 대응 중심 전략은 한계를 드러냈다.

이제 한국의 기업과 정부는 '아무것도 믿지 말라'는 명제를 바탕으로, 위협이 애초에 시스템에 도달하지 못하도록 구조적으로 차단하는 '새로운 방어 삼원칙'을 확립해야 한다.

첫째, 격리(Isolate)다. 기업 보안 사고의 절반 가까이가 브라우저를 통해 발생한다. 웹 기반 위협을 원천 차단하기 위해서는 원격 브라우저 격리(RBI) 기술을 핵심 인프라로 도입해야 한다. 웹 브라우저의 실행 환경 자체를 사용자 기기가 아닌 원격 서버로 옮기고, 사용자에게는 시각적인 화면(픽셀)만 스트리밍하는 방식이다. 설령 사용자가 악성 링크를 클릭해 위협이 발동되더라도, 이는 철저히 격리된 외부 서버에서만 실행되고 소멸할 뿐 기업의 내부망이나 사용자 기기로는 절대 넘어오지 못한다.

둘째, 무해화(Disarm)다. AI가 생성한 제로데이 악성코드는 기존 백신이나 샌드박스의 탐지 로직을 손쉽게 회피한다. 따라서 파일이나 이메일을 통해 유입되는 위협은 '이것이 악성인가?'를 분석하고 판단하려는 시도 자체를 포기해야 한다. 대신 모든 문서에서 실행 가능한 능동 요소(매크로, 스크립트 등)를 무조건적으로 제거하고 순수한 데이터로 재구성하는 콘텐츠 무해화(CDR) 기술을 적용해야 한다. 탐지를 포기하는 대신 위협의 가능성 자체를 원천 거세하는 방식이다.

셋째, 공격 표면 최소화(Reduction)다. 아무리 뛰어난 AI라도 찌를 빈틈이 보이지 않으면 공격을 성립시킬 수 없다. 픽셀 스트리밍 방식과 제로 트러스트의 최소 권한 원칙을 결합하면, 사용자와 공격자 모두에게 서버의 실제 코드나 API 구조를 전혀 노출하지 않을 수 있다. 네트워크를 마이크로 세그멘테이션으로 잘게 쪼개어 침투 후의 횡적 이동을 막고, 공격자가 탐색할 수 있는 공간, 즉 '공격 표면' 자체를 지워버려야 한다.

사이버 안보의 성공 지표도 이제 바뀌어야 한다. 침해 건수나 위협 탐지 시간(MTTD)에 매달리는 것은 과거의 유산이다. 이제는 '우리 시스템이 웹 트래픽을 얼마나 완벽히 격리하고 있는가' '외부 유입 파일의 무해화 커버리지는 몇 퍼센트인가' '외부에 노출된 공격 표면을 구조적으로 얼마나 제거했는가'가 새로운 핵심성과지표(KPI)가 되어야 한다.

미국 재무부의 긴급 소집은 결코 태평양 너머의 남의 일이 아니다. 끊임없이 국내를 타깃으로 삼는 해킹 조직들이 무기화된 AI를 손에 쥐는 것은 정해진 수순이다. 방어의 철학을 '사후 탐지'에서 '제로 트러스트 보안' 기반의 사전 격리·무해화·최소화로 즉시 전환하지 않는다면 다가오는 AI 사이버 전쟁에서 살아남을 수 없다. 아무것도 믿지 않는 것, 그것이 역설적으로 가장 강력한 보안의 시작점이다.

배환국 한국제로트러스트위원회(KOZETA) 위원장(소프트캠프 대표) hkbae@softcamp.co.kr