이해민 조국혁신당 의원이 28일 국회 과방위에서 류제명 과기정통부 2차관에게 미토스 관련 질의를 하고 있다(사진=국회방송)
28일 과방위 현안질의에서 이해민 의원(조국혁신당)은 미토스가 불러온 위협의 본질을 세 가지로 규정했다.
그는 “전문 해커가 27년간 찾지 못한 시스템 보안 취약점을 AI가 단시간에 찾아내고, 스스로 실제 공격 코드까지 만들 수 있다”며 “문제는 해킹 기술의 대중화, 자동화, 가속화”라고 짚었다. 금융 시스템, 기업 인프라, 상수도 관리 시스템 등 사회 기반 전체가 타깃이 될 수 있다는 우려도 제기했다.
배경훈 부총리 겸 과기정통부 장관도 같은 날 페이스북에 “별도의 고도화된 코딩 없이도 프롬프팅만으로 취약점 탐색과 공격 시나리오 구성이 상당 수준 가능하다는 점을 확인했다”고 직접 밝혔다. 영국 AI안전연구소(AISI) 평가에 따르면 미토스는 전문가 수준의 CTF(보안 경연대회) 과제에서 73%의 성공률을 기록했고, 32단계 기업 네트워크 공격 시뮬레이션을 10회 중 3회 처음부터 끝까지 완료했다.
(사진=배경훈 부총리 페이스북)
현재 52개 참여 기업은 전부 미국 기업이지만, 영국은 AISI를 통해 독립 평가 권한까지 확보한 상태다. 반면 한국은 아직 접근 권한을 받지 못했다. 류제명 과기정통부 제2차관도 “아직은”이라고 현재 접촉 중이라고만 했다.
이 의원은 “스탠퍼드 AI Index 2026 기준 주목할 만한 AI 모델 수에서 세계 3위권이고, AI 기본법도 세계 최초로 시행 중이며 AI 안전연구소도 운영 중인데 왜 영국이 먼저냐”고 따져 물었다.
배 장관은 페이스북을 통해 “AI안전연구소를 중심으로 글래스윙 프로젝트와 같은 글로벌 협력 참여를 심도 있게 검토하겠다”고 밝혔지만, 이 의원은 “차관·AI안전연구소·기업들이 파트너십을 위해 뛰고 있다고 들었지만 시간이 없다”고 압박했다.
(사진=이해민 의원실)
이 의원은 정부가 놓쳐서는 안 될 시간표를 구체적으로 제시했다. 첫째는 7월 초다. 글래스윙 프로젝트를 통해 미토스가 발굴한 취약점은 공개 정책에 따라 90일 후 전면 공개된다. 취약점 목록이 공개되면 악의적 활용 가능성이 급격히 커진다.
둘째는 연말이다. 그는 “전문가들은 미토스에 버금가는 AI 보안 공격 모델이 빠르면 두 달, 늦어도 연말 안에 나오기 시작할 것이라고 보고 있다”며 “딥시크 충격을 해킹 영역에서 경험하게 될 수 있다”고 경고했다.
이 의원이 제시한 정부 대응 현황은 이 긴박한 타임라인과 극명하게 대비됐다. AI가 해킹 위협을 예측·차단하는 ‘AI 사이버실드돔’ 기술개발은 2027년 착수 목표의 5개년 사업이고, KISA의 ‘AI 사이버 예방체계 구축’도 2027년 신규사업 목표다.
작년 국정감사에서 지적됐던 보안인재관리체계는 올해도 예산을 확보하지 못해 임시 운영 중이며, 차세대 AI 보안서비스 개발 지원은 아직 계획조차 없다. KISA가 추진 중인 ‘K-미토스’ 개발 사업도 ‘일정’이라는 답변만 되풀이했다. 과기정통부가 3~4명 규모로 꾸렸다는 AI 레드팀은 아직 업무 범위조차 정해지지 않은 ‘설계 단계’다.
이 의원은 “다 좋은 사업인데 대부분이 기획 중, 설계 중이었고 인내를 가지고 기다려 달라는 말만 들었다”며 “보안 관련 중장기 기술개발이 완료됐을 때 이미 무용지물이 되어 있을 수 있다는 게 가장 큰 우려”라고 지적했다.
이 의원은 AI 보안 기술의 블록화 가능성도 경계했다. 앤스로픽, 구글, 오픈AI, 엑사원 등 각 빅테크 진영이 독자적인 보안 생태계를 구축할 경우 한국이 특정 진영에 종속될 수 있다는 것이다. 그는 “각 블록에 대해 무조건 다중화 전략을 가져가야 한다”고 당부했다.
그는 “기술 속도를 법과 제도가 따라가기 힘들다는 건 안다”면서도 “정책을 세울 때 공급자 입장이 아니라 실제 보안 위협을 느끼는 기업과 국민의 타임라인으로 시작해야 한다”고 촉구했다.
