AI '미토스'가 쏘아올린 제로트러스트 시급성, 한국은 3년째 실증만

• 앤트로픽의 AI 모델 '클로드 미토스(Claude Mythos)'가 스스로 취약점을 찾아내고 공격 시나리오까지 자동화하면서 보안업계·학계에 제로트러스트(Zero Trust) 도입 필요성이 급부상함
  • 미토스는 27년간 발견되지 못한 취약점까지 쉽게 분석해내는 수준으로, 악성코드 설계 등 공격 시나리오 구성 역량도 뛰어난 것으로 알려짐
  • 김진수 KISIA 회장은 "AI로 인한 보안 위협은 상수라는 가정하에 철통 인증(제로 트러스트) 보안 체계가 기업·기관에 확립돼 있어야 한다"고 강조

한국 제로트러스트 도입 현황, 3년째 제자리

• 김인현 한국제로트러스트보안협회장은 "기존 보안 패러다임이 제로트러스트로 대폭 전환돼야 하는데 말로만 논의되고 있으며, 1년 뒤에는 한국이 미토스 등 보안 이슈에 발목잡힐 가능성이 크다"고 우려함
• 2024년 시범사업 착수 이후 3년째 실증만 반복 중이며 사업 규모와 예산 모두 축소됨
  • 사업 규모는 2025년 56억 3700만 원에 그쳤고, 지원 예산은 2024년 62억 원에서 2026년 45억 원으로 쪼그라듦
  • 제로트러스트 가이드라인 2.0은 2024년 발표 후 1년 넘게 후속 조치가 멈춘 상태
• 정부는 대응에 나섰음. 과기정통부가 4월 14·15일 통신 3사 및 주요 플랫폼·정보보호 기업과 간담회를 개최해 강력한 보안 체계 필요성에 공감대를 형성

미국과의 격차

• 미국은 2021년부터 제로트러스트 도입을 준비해 10년 로드맵을 마련했고, 2026년 기준 성숙도가 크게 높아진 상태
• 이재형 옥타코 대표는 "NIST SP 1800-35"를 예로 들며 미국은 19개 그룹 시나리오로 실용적 가이드라인을 제공하는 반면 한국은 개별 솔루션이 특정 부분만 방어하는 수준이라고 지적
  • 신원 인증이 없는 경우·신원 인증과 네트워크 연동이 필요한 경우 등 예상 시나리오별 구현 가이드가 준비돼 있음

"5년간 2조 5000억 원 투입해야"

• 이 대표는 과기정통부가 제로트러스트 사업을 5년간 총 2조 5000억 원(연간 5000억 원) 규모로 확대할 것을 주문
  • 전국 120개 지자체에 각 30~50억 원을 내려보내 IAM(ID·접근 관리), XDR(확장형 탐지 대응), ZTNA(제로트러스트 네트워크 접근) 등 분야별 도입을 추진해야 한다는 구상
  • 과거 CCTV 통합관제 사업에 행안부가 5년간 5000억 원씩 투입해 물리보안 체계를 마련한 사례를 근거로 제시

• 최영철 SGA솔루션즈 대표는 제로트러스트를 보안 컴플라이언스와 연계해 제도적으로 명문화하고 시장을 활성화해야 한다고 주장
• 이석준 가천대 교수는 "미국은 2021년 대통령 행정명령에서 '엄청난 변화를 줘야 한다'며 예산 투입이 눈에 띄어야 한다고 지목했다"며 정책적 의지 부재를 지적
  • 인력도 국가정보원이 제시한 정보화 인력의 10~15% 수준이 아니라 획기적 확충이 필요하다고 덧붙임

---

기술 맥락

• 제로트러스트는 "네트워크 내부도 신뢰하지 말라"는 원칙에서 출발해요. 전통적인 경계 기반 보안은 방화벽 안쪽을 안전하다고 가정했지만, 에이전틱 AI가 취약점 탐색과 침투를 자동화하는 지금은 이런 가정이 더 이상 성립하지 않거든요
• IAM·XDR·ZTNA는 제로트러스트를 구성하는 대표 축이에요. 신원을 항상 검증하고(IAM), 엔드포인트·네트워크·클라우드 전반의 이상 징후를 통합 탐지하고(XDR), 네트워크 접근 자체도 세션 단위로 검증(ZTNA)하는 식으로 다층 방어를 만드는 구조예요
• 미국 NIST SP 1800-35는 "실제로 어떻게 구현하느냐"를 19개 시나리오로 정리한 가이드인데, 한국에는 이 정도 깊이의 공식 레퍼런스가 없어서 개별 솔루션 도입이 단편적으로 이뤄지고 있어요. 그래서 예산과 법제화 없이 민간 자율에만 맡기면 확산 속도가 계속 더딜 수밖에 없다는 게 기사의 핵심 주장이에요