--- title: "브루스 슈나이어 “AI는 보안뿐 아니라 세금·규제까지 해킹할 수 있다”" published: 2026-05-10T08:05:02.942Z canonical: https://jeff.news/article/2530 --- # 브루스 슈나이어 “AI는 보안뿐 아니라 세금·규제까지 해킹할 수 있다” 브루스 슈나이어가 앤트로픽의 AI 모델 미토스 사례를 계기로, 생성형 AI의 위험이 소프트웨어 취약점 탐지에만 머물지 않는다고 짚었다. 세법, 환경 규제, 식품 안전 규정처럼 복잡한 제도도 알고리즘처럼 분석될 수 있고, AI가 그 허점을 대량으로 찾아낼 수 있다는 주장이다. - 앤트로픽의 AI 모델 미토스가 소프트웨어 취약점을 너무 잘 찾는다는 얘기가 나오면서, 보안 업계의 긴장감이 확 올라간 상태임 - 모질라와 팔로알토 네트웍스 같은 조직이 미토스 활용 경험을 공유하면서 “이거 방어에도 좋지만 공격에도 너무 좋은 거 아냐?”라는 분위기가 커짐 - 모질라는 미토스로 파이어폭스 취약점 271개를 찾아 수정했다고 함. 숫자만 보면 방어자 입장에선 꽤 강력한 자동화 도구임 - 브루스 슈나이어는 미토스 논란을 보면서도 앤트로픽의 설명을 100% 그대로 받아들이진 않음 - 앤트로픽은 미토스를 “너무 위험해서 공개할 수 없다”는 식으로 설명했지만, 슈나이어는 운영 비용 문제도 봐야 한다고 지적함 - 즉, 진짜 위험해서 제한한 것일 수도 있지만, 너무 비싸서 일반 공개할 여력이 없었을 가능성도 있다는 얘기임 - 그렇다고 슈나이어가 AI 보안 위협을 과소평가하는 건 전혀 아님 - 최신 생성형 AI는 앤트로픽뿐 아니라 오픈AI, 오픈소스 모델까지 포함해 취약점을 찾고 악용하는 능력이 계속 좋아지고 있음 - 공격자는 이걸로 핵심 시스템에 침입하고, 랜섬웨어를 심고, 데이터를 훔치고, 시스템을 장악할 수 있음 - 반대로 방어자도 AI를 써서 취약점을 자동으로 찾고 고치는 흐름으로 갈 가능성이 큼. 슈나이어는 이게 개발 프로세스의 표준이 될 거라고 봄 > [!IMPORTANT] > 핵심은 “AI가 취약점을 찾는다”가 아니라 “AI가 복잡한 규칙 체계의 허점을 기계 속도로 찾기 시작한다”는 점임. - 슈나이어가 진짜 무섭다고 보는 지점은 보안 바깥임. 세법과 규제도 일종의 알고리즘처럼 분석될 수 있다는 거임 - 세법은 컴퓨터 코드는 아니지만, 입력과 출력이 있는 규칙 체계임 - 소프트웨어에 취약점이 있듯이 세법에는 세금 허점이 있고, 이를 활용하는 절세 전략이 있음 - 보안에서 블랙햇 해커가 허점을 찾는다면, 세금 영역에서는 변호사와 회계사가 그 역할을 한다는 비유가 나옴 - 슈나이어는 투자은행들이 이미 AI로 세법 허점을 찾고 있을 가능성을 거론함 - 미국, 영국 같은 산업화된 국가의 세법을 AI에 넣고 절세 전략을 찾아보라고 시킬 수 있다는 얘기임 - AI가 허점 10개를 찾을지, 100개를 찾을지, 1000개를 찾을지는 아무도 모름 - 여러 나라 세법을 엮어 세금을 줄이는 훨씬 정교한 전략까지 나올 수 있다는 점이 꽤 섬뜩함 - 이 패턴은 세금에만 머물지 않음. 환경 규제, 식품 안전 규제 같은 복잡한 규정도 같은 방식으로 털릴 수 있음 - AI가 수많은 아이디어를 쏟아내면, 인간 전문가가 그중 실제로 쓸 수 있는 것을 골라 법적으로 포장할 수 있음 - 결국 돈과 조직력이 있는 쪽이 규칙의 빈틈을 더 빠르게 찾아내고, 더 오래 활용할 가능성이 커짐 - 소프트웨어보다 제도 해킹이 더 위험할 수 있다는 말도 나옴. 이유는 패치 속도 차이임 - 소프트웨어 회사는 심각한 취약점이 나오면 며칠 안에 패치를 낼 수 있음 - 세법이나 규제는 고치는 데 몇 년이 걸릴 수 있고, 그 과정은 정치적이며 로비스트가 개입함 - 그래서 AI가 찾아낸 제도적 허점은 훨씬 오래 살아남을 수 있음 - 슈나이어의 결론은 꽤 간단함. 지금 시스템은 인간 속도에 맞춰 설계됐다는 거임 - 산업혁명이 육체 노동을 기계로 대체했다면, AI 혁명은 두뇌 노동을 기계로 대체하고 있음 - 세금 제도, 규제 체계, 보안 시스템 모두 인간이 찾고 인간이 고치는 속도를 전제로 만들어졌음 - 이제 AI가 그 전제를 깨기 시작했고, 적응은 어렵지만 피할 선택지는 없다는 얘기임 --- ## 기술 맥락 - 여기서 중요한 선택은 AI를 단순한 보안 도구가 아니라 복잡한 규칙 시스템 분석기로 보는 관점이에요. 소프트웨어 취약점 탐지와 세법 허점 탐지는 겉보기엔 달라도, 둘 다 큰 규칙 집합 안에서 예외와 빈틈을 찾는 문제거든요. - 미토스 사례가 강하게 보이는 이유는 방어와 공격이 같은 기술을 공유하기 때문이에요. 모질라는 파이어폭스 취약점 271개를 고치는 데 썼지만, 같은 능력을 공격자가 쓰면 패치 전 시스템을 먼저 찌르는 도구가 될 수 있어요. - 제도 쪽이 더 까다로운 건 배포 주기가 완전히 다르기 때문이에요. 코드 패치는 며칠 단위로 나올 수 있지만, 세법이나 규제는 정치적 합의와 로비를 거쳐야 해서 몇 년이 걸릴 수 있거든요. - 그래서 이 논점은 개발자에게도 꽤 현실적이에요. 앞으로 AI 안전성은 모델이 위험한 답변을 하느냐만의 문제가 아니라, 시스템이 AI 속도의 탐색과 악용을 견딜 수 있게 설계됐느냐의 문제로 바뀌고 있어요. ## 핵심 포인트 - 미토스 같은 AI 모델은 소프트웨어 취약점 탐지와 악용 능력을 빠르게 끌어올리고 있음 - 모질라는 미토스로 파이어폭스 취약점 271개를 찾아 수정했지만, 공격자도 같은 역량을 쓸 수 있음 - 슈나이어는 세법과 규제 체계도 입력과 출력이 있는 알고리즘처럼 볼 수 있다고 주장함 - 소프트웨어 패치는 며칠이면 가능하지만 세법과 규제 개정은 정치·로비 때문에 몇 년이 걸릴 수 있음 ## 인사이트 개발자 입장에선 ‘AI 보안’이 취약점 스캐너 문제로만 보이기 쉬운데, 슈나이어의 포인트는 더 큼. 우리가 만든 사회 시스템 대부분이 인간 속도 기준으로 설계됐고, AI가 그 룰을 기계 속도로 뒤지기 시작하면 패치 주기가 완전히 안 맞는다는 얘기임.