본문으로 건너뛰기
J
피드

서비스나우 CTO “미토스급 AI가 오픈소스로 풀리면 해킹 속도 더 빨라진다”

security 약 5분
tags
#ai-security#open-source#devops#vulnerability#automation
vote
0
댓글
북마크

서비스나우 CTO 펫 케이시는 앤스로픽의 AI 모델 ‘미토스’가 중국에서 재현돼 핵심 소스가 공개될 경우 사이버 공격 위험이 크게 커질 수 있다고 경고했다. 취약점이 발견된 뒤 실제 악용까지 이어지는 시간이 짧아지는 만큼, 자동화된 보안 대응 도구 없이는 상황이 빠르게 악화될 수 있다는 주장이다.

  • 1

    앤스로픽의 미토스는 보안 성능이 강하지만 악용 시 개인정보 유출과 시스템 마비 위험도 커짐

  • 2

    케이시 CTO는 중국 AI 기업이 6개월 안에 미토스급 모델을 재현해 오픈소스로 공개할 가능성을 우려

  • 3

    취약점 발견 후 해커 악용까지의 주기가 짧아지고 있어 자동화된 보안 대응이 필요하다는 지적

  • 4

    서비스나우는 노동력이 제한되는 경제에서 업무 자동화 플랫폼이 소프트웨어 시장의 핵심이 될 것으로 봄

  • 서비스나우 CTO가 앤스로픽의 AI 모델 ‘미토스’에 꽤 센 경고를 던짐

    • 펫 케이시 서비스나우 CTO 겸 데브옵스(DevOps) 부문 총괄 부사장은 미국 라스베이거스 인터뷰에서 “6개월 뒤 중국이 미토스급 모델을 오픈소스로 공개할 수 있다”고 봄
    • 그렇게 되면 산업 전반에 문제가 빠르게 퍼질 수 있다는 게 핵심 우려임

  • 미토스의 포인트는 “보안 성능이 강하다”는 점인데, 바로 그게 양날의 검임

    • 기사에 따르면 미토스는 역대 최강 수준의 보안 성능을 가진 모델로 언급됨
    • 방어에 쓰면 취약점 탐지나 분석에 도움이 되지만, 공격에 쓰이면 개인정보 유출이나 시스템 마비로 이어질 수 있음
    • 앤스로픽이 일부 정부 기관과 대형 은행에만 프리뷰를 제공한 것도 이 위험을 의식한 조치로 보임

⚠️주의

> 보안 능력이 강한 AI 모델은 방어팀만 쓰는 도구가 아님. 공격자도 같은 능력을 취약점 분석, 공격 자동화, 침투 시나리오 생성에 활용할 수 있음.

  • 업계가 진짜 걱정하는 건 중국 AI 기업의 재현 가능성임

    • 과거 딥시크가 챗GPT 출력물을 대규모로 수집해 모델 역량을 끌어올렸다는 식의 사례가 언급됨
    • 즉 원본 모델의 핵심 코드나 가중치가 없어도, 간접적인 방식으로 비슷한 성능의 모델을 만들 수 있다는 얘기임
    • 케이시 CTO는 중국 기업이 그런 모델의 핵심 소스를 공개하면 해킹 세력이 바로 가져다 쓸 수 있다고 봄

  • 미국 정부도 이 리스크를 제도권 이슈로 보고 있음

    • 케빈 해싯 백악관 국가경제위원회(NEC) 위원장은 폭스뉴스 인터뷰에서 미토스 같은 새 AI 모델 검증 시스템을 만드는 행정명령을 검토 중이라고 밝힘
    • 단순히 기업 내부의 모델 출시 판단이 아니라, 국가 차원의 검증 체계로 끌어올릴 수 있다는 신호임

  • 케이시 CTO가 든 현실 사례는 패치 속도와 악용 속도의 격차임

    • 최근 파이어폭스에서 한 번에 상당수 패치가 나왔다는 점을 언급함
    • 취약점이 발견된 뒤 해커들이 이를 악용하기까지의 주기가 매우 짧아졌다는 의미로 해석함
    • 사람이 티켓 만들고, 우선순위 정하고, 패치 배포하는 흐름만으로는 점점 따라가기 어렵다는 문제의식임

중요

> 케이시 CTO의 결론은 단순함. 자동화된 도구를 도입하지 않으면 취약점 대응은 점점 더 밀리고, AI로 무장한 공격 쪽 속도를 따라잡기 어려워진다는 것임.

  • 서비스나우가 말하는 자동화는 보안 얘기에서 끝나지 않음
    • 케이시 CTO는 미국뿐 아니라 한국과 일본도 노동이 제한된 경제로 가고 있다고 봄
    • 자동화는 사람이 훨씬 더 많은 일을 할 수 있게 해주는 수단이고, 서비스나우의 근본 목표도 여기에 있다고 설명함
    • 결국 보안, 운영, 업무 프로세스가 모두 자동화 플랫폼 경쟁으로 묶이는 그림임

기술 맥락

  • 이번 이슈의 핵심은 “강한 보안 AI를 누가 쓰느냐”예요. 같은 모델이 취약점 탐지에는 방어 도구가 되지만, 공격자 손에 들어가면 공격 경로를 더 빨리 찾는 도구가 되거든요.

  • 케이시 CTO가 오픈소스 공개를 특히 걱정하는 이유도 여기에 있어요. 공개 모델은 확산 속도가 빠르고, 한 번 퍼지면 특정 기관이나 기업이 접근을 통제하기 어렵기 때문이에요.

  • 파이어폭스 패치 사례를 언급한 건 취약점 대응 시간이 줄어드는 현실을 보여주려는 거예요. 취약점이 공개되고 악용 코드가 만들어지는 사이 간격이 짧아지면, 보안팀은 수동 대응보다 자동화된 탐지·우선순위화·패치 흐름이 필요해져요.

  • 서비스나우 관점에서는 이게 데브옵스(DevOps)와 업무 자동화 시장의 기회이기도 해요. 보안 대응이 개발·운영 파이프라인 안에 들어오면, 단순 협업툴이 아니라 운영 자동화 플랫폼이 핵심 인프라가 되거든요.

AI 모델 성능이 좋아질수록 방어자만 이득 보는 게 아니라 공격자도 똑같이 무기 업그레이드를 받는다는 얘기다. 특히 오픈소스 공개와 자동화 공격이 결합되면, 보안팀이 수동 패치 흐름으로 버티기 어려운 구간이 빨리 올 수 있다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

랜섬웨어가 백업까지 때리자, 데이터 복원력이 965억 달러 시장으로 커지는 중

데이터 복원력 시장이 랜섬웨어, 규제 강화, 하이브리드·멀티클라우드 확산을 타고 빠르게 커지고 있다. 단순 백업이 아니라 공격·장애 이후 서비스를 얼마나 빨리 되살리느냐가 기업 IT의 핵심 지표로 바뀌는 흐름이다.

security

개발자들이 CORS를 대충 알면 이런 보안 사고가 난다

2019년 Zoom 취약점을 계기로, 많은 웹 개발자가 CORS를 제대로 이해하지 못한 채 우회부터 한다는 점을 짚은 글이다. localhost에 떠 있는 네이티브 앱용 웹서버가 모든 웹사이트의 요청을 받아버리면, 편의 기능이 바로 보안 취약점으로 바뀐다.

security

클로드, 일부 기능에 신분증 기반 본인 인증 도입

Anthropic이 Claude의 일부 기능과 플랫폼 무결성 점검 과정에서 신분증 기반 본인 인증을 요구하기 시작했다. 정부 발급 신분증과 셀피를 Persona가 수집하고, Anthropic은 이를 모델 학습이나 마케팅에 쓰지 않는다고 선을 그었다.

security

KT, 양자 컴퓨팅 시대 대비해 클라우드·네트워크 보안에 양자 기술 붙인다

KT가 AI와 양자 컴퓨팅 환경 변화에 대응하기 위한 미래 네트워크 보안 구상인 ‘E2E 퀀텀 시큐리티’를 공개했다. 고객과 통신망 사이의 전송 구간, 네트워크 장비와 운영 구간, 데이터 생성부터 삭제까지의 생애주기를 각각 퀀텀 링크·퀀텀 노드·퀀텀 볼트로 보호한다는 전략이다.

security

북한 해킹조직, npm 패키지 140개 넘게 오염시켜 AI 개발자 노렸다

북한 연계 해킹조직 사파이어 슬릿, 일명 블루노로프가 마스트라 AI 생태계를 겨냥한 공급망 공격을 벌인 것으로 마이크로소프트가 분석했다. 공격자는 npm 유지관리자 계정을 탈취해 140개 넘는 패키지에 악성 의존성을 추가했고, 개발자의 인증 정보와 가상화폐 지갑을 노렸다. 윈도, 맥OS, 리눅스 모두에서 지속성을 확보하는 크로스 플랫폼 정보탈취 악성코드가 사용됐다.