AI 모델 '뮤토스' 활용으로 1만건 넘는 취약점 확인, 수정 시급

2026-05-23

고성능 AI로 결함 1만건 넘어

미국 앤스로픽은 22일 고성능 인공지능(AI) 모델 '뮤토스'를 활용한 기업들에서 위험도가 높은 소프트웨어 취약점이 1만건 이상 발견됐다고 밝혔다. 회사는 같은 수준의 AI가 널리 쓰이기 전에 기업들이 소프트웨어 수정 대응을 앞당길 필요가 있다고 했다.

앤스로픽은 4월 뮤토스를 사이버 공격 능력이 높다는 이유로 일반에 공개하지 않고 미국 테크 기업을 중심으로 약 50개사에 우선 제공하고 있다. 이들 기업이 자사 소프트웨어를 검증한 결과, 회사당 수백건, 합계 1만건이 넘는 취약점이 발견됐다고 한다.

취약점은 소프트웨어나 시스템의 결함으로, 악용되면 부정 접근이나 정보 유출로 이어질 수 있다. 소프트웨어의 설계나 동작을 정하는 프로그램은 방대하고 업데이트도 잦아 취약점 자체는 드물지 않다.

새롭게 보고된 취약점은 25년만 4만6000건에 달했으며, 국제단체는 심각도에 따라 '긴급·중요·경고·주의'의 4단계로 분류하고 있다. 이번에 이용 기업이나 앤스로픽이 지적한 것은 전체의 절반을 차지하는 '긴급·중요' 수준에 해당하는 것으로 보인다.

회사 측은 공개돼 누구나 이용할 수 있는 오픈소스 소프트웨어 1000건 이상을 분석했다. 뮤토스는 이 검증에서 위험도가 높은 취약점 6200건을 찾아냈다고 한다. 이어 1700건을 재평가한 결과, 약 60%가 실제로 고위험 취약점이었다.

예를 들어 전 세계에서 널리 쓰이는 암호 통신 소프트웨어에서는 뮤토스가 인증서를 위조해 사칭을 가능하게 하는 공격 기법을 만들어냈다. 이 취약점은 개발 기업에 보고됐으며 이미 수정이 완료됐다고 한다.

AI의 진화는 빠르며, 뮤토스 수준의 성능을 가진 AI가 앞으로 이용 가능해질 것으로 보인다. 방어 측이 대량의 취약점을 찾아내더라도 수정 소프트웨어의 작성이나 적용이 따라가지 못하면 공격 측에 악용될 위험은 커진다.

앤스로픽은 취약점 검증과 수정을 사람 손에만 의존하는 것은 큰 병목이 될 수 있다고 지적했다. 시간 단축을 위해 AI 활용을 확대하는 한편, 수정 소프트웨어의 검증 절차 간소화와 확인 빈도 상향 같은 체계 마련이 필요하다고 했다.

뮤토스는 현재 이용이 제한돼 있지만 일본 3대 메가뱅크 등도 조만간 접근 권한을 얻을 전망이다. 앤스로픽은 미국 정부와 동맹국 정부를 포함한 중요한 파트너와 협력해 제공 대상을 더 넓힐 방침이다.

이 글이 도움이 되셨다면 공유해 주세요.