본문으로 건너뛰기
J
피드

서비스나우 CTO “미토스급 AI가 오픈소스로 풀리면 해킹 속도 더 빨라진다”

security 약 5분
tags
#ai-security#open-source#devops#vulnerability#automation
vote
0
댓글
북마크
원문 보기

서비스나우 CTO 펫 케이시는 앤스로픽의 AI 모델 ‘미토스’가 중국에서 재현돼 핵심 소스가 공개될 경우 사이버 공격 위험이 크게 커질 수 있다고 경고했다. 취약점이 발견된 뒤 실제 악용까지 이어지는 시간이 짧아지는 만큼, 자동화된 보안 대응 도구 없이는 상황이 빠르게 악화될 수 있다는 주장이다.

  • 1

    앤스로픽의 미토스는 보안 성능이 강하지만 악용 시 개인정보 유출과 시스템 마비 위험도 커짐

  • 2

    케이시 CTO는 중국 AI 기업이 6개월 안에 미토스급 모델을 재현해 오픈소스로 공개할 가능성을 우려

  • 3

    취약점 발견 후 해커 악용까지의 주기가 짧아지고 있어 자동화된 보안 대응이 필요하다는 지적

  • 4

    서비스나우는 노동력이 제한되는 경제에서 업무 자동화 플랫폼이 소프트웨어 시장의 핵심이 될 것으로 봄

  • 서비스나우 CTO가 앤스로픽의 AI 모델 ‘미토스’에 꽤 센 경고를 던짐

    • 펫 케이시 서비스나우 CTO 겸 데브옵스(DevOps) 부문 총괄 부사장은 미국 라스베이거스 인터뷰에서 “6개월 뒤 중국이 미토스급 모델을 오픈소스로 공개할 수 있다”고 봄
    • 그렇게 되면 산업 전반에 문제가 빠르게 퍼질 수 있다는 게 핵심 우려임

  • 미토스의 포인트는 “보안 성능이 강하다”는 점인데, 바로 그게 양날의 검임

    • 기사에 따르면 미토스는 역대 최강 수준의 보안 성능을 가진 모델로 언급됨
    • 방어에 쓰면 취약점 탐지나 분석에 도움이 되지만, 공격에 쓰이면 개인정보 유출이나 시스템 마비로 이어질 수 있음
    • 앤스로픽이 일부 정부 기관과 대형 은행에만 프리뷰를 제공한 것도 이 위험을 의식한 조치로 보임

⚠️주의

> 보안 능력이 강한 AI 모델은 방어팀만 쓰는 도구가 아님. 공격자도 같은 능력을 취약점 분석, 공격 자동화, 침투 시나리오 생성에 활용할 수 있음.

  • 업계가 진짜 걱정하는 건 중국 AI 기업의 재현 가능성임

    • 과거 딥시크가 챗GPT 출력물을 대규모로 수집해 모델 역량을 끌어올렸다는 식의 사례가 언급됨
    • 즉 원본 모델의 핵심 코드나 가중치가 없어도, 간접적인 방식으로 비슷한 성능의 모델을 만들 수 있다는 얘기임
    • 케이시 CTO는 중국 기업이 그런 모델의 핵심 소스를 공개하면 해킹 세력이 바로 가져다 쓸 수 있다고 봄

  • 미국 정부도 이 리스크를 제도권 이슈로 보고 있음

    • 케빈 해싯 백악관 국가경제위원회(NEC) 위원장은 폭스뉴스 인터뷰에서 미토스 같은 새 AI 모델 검증 시스템을 만드는 행정명령을 검토 중이라고 밝힘
    • 단순히 기업 내부의 모델 출시 판단이 아니라, 국가 차원의 검증 체계로 끌어올릴 수 있다는 신호임

  • 케이시 CTO가 든 현실 사례는 패치 속도와 악용 속도의 격차임

    • 최근 파이어폭스에서 한 번에 상당수 패치가 나왔다는 점을 언급함
    • 취약점이 발견된 뒤 해커들이 이를 악용하기까지의 주기가 매우 짧아졌다는 의미로 해석함
    • 사람이 티켓 만들고, 우선순위 정하고, 패치 배포하는 흐름만으로는 점점 따라가기 어렵다는 문제의식임

중요

> 케이시 CTO의 결론은 단순함. 자동화된 도구를 도입하지 않으면 취약점 대응은 점점 더 밀리고, AI로 무장한 공격 쪽 속도를 따라잡기 어려워진다는 것임.

  • 서비스나우가 말하는 자동화는 보안 얘기에서 끝나지 않음
    • 케이시 CTO는 미국뿐 아니라 한국과 일본도 노동이 제한된 경제로 가고 있다고 봄
    • 자동화는 사람이 훨씬 더 많은 일을 할 수 있게 해주는 수단이고, 서비스나우의 근본 목표도 여기에 있다고 설명함
    • 결국 보안, 운영, 업무 프로세스가 모두 자동화 플랫폼 경쟁으로 묶이는 그림임

기술 맥락

  • 이번 이슈의 핵심은 “강한 보안 AI를 누가 쓰느냐”예요. 같은 모델이 취약점 탐지에는 방어 도구가 되지만, 공격자 손에 들어가면 공격 경로를 더 빨리 찾는 도구가 되거든요.

  • 케이시 CTO가 오픈소스 공개를 특히 걱정하는 이유도 여기에 있어요. 공개 모델은 확산 속도가 빠르고, 한 번 퍼지면 특정 기관이나 기업이 접근을 통제하기 어렵기 때문이에요.

  • 파이어폭스 패치 사례를 언급한 건 취약점 대응 시간이 줄어드는 현실을 보여주려는 거예요. 취약점이 공개되고 악용 코드가 만들어지는 사이 간격이 짧아지면, 보안팀은 수동 대응보다 자동화된 탐지·우선순위화·패치 흐름이 필요해져요.

  • 서비스나우 관점에서는 이게 데브옵스(DevOps)와 업무 자동화 시장의 기회이기도 해요. 보안 대응이 개발·운영 파이프라인 안에 들어오면, 단순 협업툴이 아니라 운영 자동화 플랫폼이 핵심 인프라가 되거든요.

AI 모델 성능이 좋아질수록 방어자만 이득 보는 게 아니라 공격자도 똑같이 무기 업그레이드를 받는다는 얘기다. 특히 오픈소스 공개와 자동화 공격이 결합되면, 보안팀이 수동 패치 흐름으로 버티기 어려운 구간이 빨리 올 수 있다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

클라우드 방화벽도 이제 포스트 양자 암호 검증 대상임

시큐어아이큐랩이 클라우드 네이티브 방화벽(CNFW)을 대상으로 한 포스트 양자 암호(PQC) 독립 검증 방법론을 공개했음. TLS, 쿠버네티스 정책 집행, 생성AI 추론 엔드포인트, MCP 서버 보안까지 같이 본다는 점이 핵심임.

security

네이버클라우드, SSL/TLS 인증서 자동 갱신용 ACME 기능 출시

네이버클라우드가 Certificate Manager에 SSL/TLS 인증서 발급·갱신·폐지를 자동화하는 ACME 기능을 추가했다. 인증서 유효기간이 2029년 47일까지 줄어들 전망이라, 수동 갱신 운영은 점점 위험해지는 상황이다. 기존 유료 인증서 고객은 추가 비용 없이 사용할 수 있고, Certbot과 Win-acme 같은 오픈소스 클라이언트도 연동된다.

security

네이버클라우드, SSL/TLS 인증서 자동 관리 ACME 출시

네이버클라우드가 인증서 자동 발급, 갱신, 폐지를 지원하는 ACME 기능을 출시했다. 인증서 유효기간이 2029년 47일까지 줄어드는 흐름 속에서, 갱신 누락으로 인한 장애를 줄이고 온프레미스와 멀티 클라우드까지 자동화 범위를 넓히려는 서비스다.

security

두루이디에스, RAG 붙인 소스코드·오픈소스 취약점 진단 플랫폼 공개

두루이디에스가 2026 국제인공지능대전에서 RAG 기반 보안 진단 플랫폼 엑스팩AI를 공개했다. 기존 SAST·SCA 도구의 고질병인 오탐 문제를 줄이기 위해 AST 정적 분석과 프라이빗 LLM의 문맥 검증을 결합한 게 핵심이다. 공공·금융·국방 컴플라이언스 룰셋과 개발자용 Ask AI까지 넣어 실무형 보안 플랫폼을 노린다.

security

쿤텍 이지즈 3.0, 소프트웨어 공급망 보안에 AI-BOM까지 붙였다

쿤텍이 공급망 보안 플랫폼 이지즈 3.0을 출시하며 기존 SBOM 중심 관리에서 AI-BOM까지 범위를 넓혔다. 오픈소스 관리, 저장소 관리, 바이너리 분석을 하나로 묶고, AI 모델의 데이터·라이브러리·구조 변경 이력까지 추적하겠다는 방향이다.