NARS Brief 제162호
국회입법조사처 과학방송통신팀 전문가 간담회 개최
‘미토스’ 사태와 AI 보안 위협 대응 전략
- 일 시 : 2026년 5월 7일(목) 오후 3시
- 장 소 : 국회입법조사처 제3세미나실

간담회 주요 내용
앤트로픽(Anthropic)의 최신 AI 모델인 ‘미토스(Claude Mythos)’는 AI가 소프트웨어 취약점 탐지를 넘어 공격 자동화까지 가능한 수준에 이르렀음을 보여주며, 기존 사이버보안 대응 패러다임의 전환 필요성을 제기하고 있다. 특히 앤트로픽이 ‘미토스’에 대한 접근을 일부 기관과 기업에 제한적으로 허용하면서 국가 간·기업 간 보안 역량 격차와 정보 비대칭 문제에 대한 우려도 커지고 있다. 2026년 7월 ‘미토스’가 탐지한 취약점 결과 등을 담은 공개보고서가 발표될 예정인 가운데, 이번 간담회에서는 ‘미토스’ 사태를 중심으로 AI 기반 사이버 위협의 특성과 기존 대응체계의 한계를 종합적으로 분석하고 향후 입법·정책 과제와 대응 전략을 논의하였다.

이상근 교수(고려대 AI 보안연구소장)는 발제를 통해 공격자와 방어자 양측에서 AI 활용이 본격화되면서, 공격 진영에서는 AI 기반 자율·대규모 공격으로의 패러다임 전환이 이루어지고 있으며, 방어 진영에서도 AI 에이전트가 수십 년간 발견되지 않았던 제로데이(0-day) 취약점(취약점이 발견되고 보안 패치가 나오기 전까지의 취약점)을 자율적으로 발굴하는 수준에 도달했다고 밝혔다.

이어 ‘미토스’는 앤트로픽이 개발한 역대 가장 강력한 AI 모델로, 코딩·추론·수학·사이버보안 전 영역에서 압도적 성능을 보였으나, 사이버보안 리스크 우려로 일반 공개 없이 방어적 보안 목적의 선별된 파트너에게만 제한적으로 배포되었다고 설명했다.

또한 ‘미토스’ 이후 사이버공격의 진입장벽이 크게 낮아지고, 공격 속도 또한 인간 대응 수준을 넘어 기계 수준으로 빨라지는 등 사이버위협의 패러다임 변화가 나타나고 있다고 지적하며, 행위 기반 탐지와 자동(실시간) 패치의 중요성이 커지고 있다고 강조했다. 글로벌 사이버보안 환경은 앤트로픽의 ‘Glasswing’, OpenAI의 ‘Trusted Access for Cyber’ 등 방어적 사이버보안 이니셔티브를 중심으로 형성되고 있다고 설명했다.

미국 국립표준기술연구소(NIST)의 취약점 데이터베이스(NVD) 축소로 취약점 관리 ‘글로벌 표준’이 붕괴되고 있으나 우리나라는 이를 보완할 국가 취약점 정보 보강 체계가 부재하다고 지적했다. 또한 영국의 사이버보안 및 복원력 법안(CS&R Bill), 무료·개방형 국가 조기경보 체계 등을 소개하며, 한국은 주요국과 비교할 때 사이버 통합법 부재, 자산 매칭 기반 조기경보체계 미흡, SBOM(소프트웨어 자재 명세서) 의무화 부재 등의 공백이 존재한다고 분석했다.

아울러 정보 비대칭(Glasswing 소외), 공공·금융권의 느린 패치 속도, 보안 인력·예산 부족, AI 보안 기술주권 부재, 레거시 시스템 및 오픈소스 의존도 등의 한계도 함께 지적하며, AI 정책의 중심이 ‘산업 육성’에서 ‘국가 리스크 관리’로 전환될 필요가 있다고 덧붙였다.

이 교수는 현행 사이버보안 대응체계의 한계를 해결하기 위한 법령 등 개정 방안을 3단계로 제시했다. 첫째(단기), 관련 시행령·고시 등 개정을 통해 주요정보통신기반시설의 긴급 패치 시 사전심의 면제 등 긴급 패치 약식 절차를 마련하고, 정보보호 및 개인정보보호 관리체계 인증(ISMS-P 인증) 기준에 SBOM 작성·공격경로 분석·AI 취약점 스캐닝 등을 반영하며, 한국형 NVD 운영 근거를 마련하는 한편, 국정원 사이버보안 실태평가 항목에도 AI 취약점 스캐닝 등을 포함할 필요가 있다고 제안했다. 둘째(중기), 「정보통신망법 이용촉진 및 정보보호 등에 관한 법률」을 개정하여 긴급 패치 적용 과정에서 발생한 다운타임·서비스 장애에 대한 면책 조항을 신설하고, 일정 규모 이상 사업자의 VDP(취약점 공개 정책) 운영 및 선의의 보안 연구자에 대한 면책 근거를 마련하는 한편, 「정보통신기반 보호법」 개정을 통해 긴급 점검 절차의 법적 근거와 금융·공공기관 AI 기반 자동 대응(AI-SOC) 도입 근거를 마련할 필요가 있다고 제언했다. 마지막으로(장기), 분산된 법체계를 통합하는 (가칭)사이버안보법을 제정하고, 단일 컨트롤타워와 국제·민관 정보공유 체계를 법제화할 필요가 있다고 강조했다.

이어진 토론에서 윤두식 위원(국가인공지능전략위원회)은 국내 공공기관의 보안 패치는 수 주에서 수 개월이 소요되어 AI 기반 공격속도를 따라가기 어려운 상황이나, 공공 IT 전체를 폐기·재구축하는 것은 불가능하므로 기존 핵심 시스템은 그대로 유지하되, 변화 속도가 빠른 보안·AI 영역만 분리해 구독·서비스형으로 결합하는 ‘하이브리드 전환’이 필요하다고 제언했다. 이를 위해 정부 표준 API(Application Programming Interface)·데이터 모델 의무화, 클라우드서비스 보안인증(CSAP) 자동화 및 서비스형 소프트웨어(SaaS) 별도 트랙 신설, 국가계약법상 다년 구독 계약 근거 명문화, 정부 패치 허브 운영이 필요하다고 강조했다.

지은경 과장(과기부 정보보호기획과)은 AI 보안주권을 확립하는 것이 무엇보다 중요하며, 사람 중심의 보안 운영체계를 AI 기반으로 신속하게 전환하는 한편, 양자 등 원천적인 방어체계 확립도 시급하다고 밝혔다. 아울러, 기업이 보유한 IT 자산을 정확히 식별·관리하고, 공격자의 공격표면을 최소화하기 위한 점검과 훈련을 강화할 필요가 있으며, CEO의 보안 관심과 투자 확대를 비롯해 기관·기업 전반에 제로트러스트를 확산함으로써 보안 수준을 상향 평준화해야 한다고 강조했다.

이해원 교수(강원대 법학전문대학원)는 사이버위협 관련 정보공유가 원활하지 않다는 지적이 지속되고 있으므로 정보 공유체계가 현장에서 보다 효과적으로 작동할 수 있도록 제도 개선이 필요하다고 제언했다.

홍일표 실장(국회입법조사처 사회문화조사실)은 ‘미토스’ 등장이ChatGPT·딥시크 등장에 버금가는 중대한 사건임에도 불구하고, 정부와 사회 전반의 위기의식과 대응은 여전히 부족한 수준이라고 지적했다. 이에 국가 컨트롤타워를 중심으로 범정부 차원의 신속한 대응이 필요하며, 현재의 소버린 AI 전략을 넘어서는 ‘소버린 AI 보안 전략’을 조속히 추진할 필요가 있다고 제언했다. 황현희 팀장(국회입법조사처 과학방송통신팀)은 7월 ‘미토스’ 공개 보고서 발표가 예정되어 있음에도 정부 차원의 전략이 미흡함을 지적하고, 기존의 경계 기반 망분리 중심 보안체계로는 AI 활용 및 AI기반 사이버위협 대응에 한계가 있을 수 있다는 의견을 제기했다.

향후 과제
향후 ‘미토스’와 같은 고성능 AI 모델의 확산으로 AI를 활용한 사이버공격이 더욱 고도화·대규모화될 것으로 예상되는 만큼, 이에 대한 선제적이고 철저한 대비가 필요하다.국회입법조사처는 AI로 인한 새로운 보안 위협과 국가 대응 체계에 관한 국내외 정책 및 제도 동향을 지속적으로 조사·분석하고, 국가와 민간의 사이버안전이 효과적으로 보호될 수 있도록 정책·입법 과제를 적극 검토해 나갈 계획이다.

문 의 : 강은수 입법조사관 (과학방송통신팀)
02-6788-4712
eunsu@assembly.go.kr