고성능 인공지능(AI)이 공개된 소프트웨어의 약점을 수 시간 만에 실제 사이버 공격 코드로 전환할 수 있다는 연구 결과가 나왔다.
앤트로픽은 최신 AI 모델 '미토스 프리뷰'를 내부 시험한 결과, 마이크로소프트 윈도우와 모질라 파이어폭스의 소프트웨어 결함을 공격하는 코드를 성공적으로 생성했다고 8일(현지시간) 밝혔다.
이는 사이버 범죄자들이 아직 패치가 적용되지 않은 시스템의 취약점을 전례 없는 속도로 무기화할 수 있다는 우려를 낳는다.
앤트로픽의 레드팀이 수행한 테스트에서 미토스 모델은 윈도우 커널의 취약점에 대한 개념 증명 공격 코드를 단 31분 만에 만들어냈다.
총 21개의 윈도우 커널 취약점을 대상으로 한 실험에서 18개 사례에서 '블루 스크린'으로 알려진 시스템 충돌을 유발했으며, 8개의 개별적인 공격 코드를 생성했다. 가장 복잡한 공격 코드를 개발하는 데는 약 5.7시간이 걸렸다.
이 모델은 모질라 파이어폭스를 대상으로 한 테스트에서도 성과를 보였다. 18개의 보안 패치에 대해 8개의 실제 작동하는 코드 실행 공격을 만들어냈다.
사이버 보안 전문가들은 대부분의 성공적인 사이버 공격이 새로 발견된 결함보다는 이미 알려진 취약점을 표적으로 삼는다고 경고해왔다. 기업들이 소프트웨어 업데이트를 테스트하고 배포하는 데 수일에서 수주가 걸려 공격자에게 기회를 제공하기 때문이다.
앤트로픽은 윈도우 권한 상승 공격 코드를 생성하는 데 약 1만5700달러(약 2260만원)의 컴퓨팅 자원이 소요됐다고 추정했다. 공격 코드 하나당 약 2000달러(약 288만원) 수준이다.
우려는 앤트로픽 모델에만 국한되지 않는다. 일부 오픈소스 AI 모델들도 이미 최신 AI 시스템의 사이버 공격 능력에 근접하고 있어, 더 넓은 범위의 행위자들이 공격 도구를 손에 넣을 가능성이 제기된다.
한편 앤트로픽은 미국 정부와의 협력을 확대하고 있다. 이 회사는 미국 국가안보국(NSA)이 사이버 보안 및 국가 안보 분야에 미토스 모델을 활용하도록 돕고 있는 것으로 알려졌다.
이는 중국, 이란 등 적대국들도 유사한 기술을 개발하고 있을 가능성이 크기 때문에 미국 역시 AI 기반 사이버 역량을 확보해야 한다는 주장에 따른 것이다.
도널드 트럼프 미국 대통령은 최근 AI 보안 검토를 위한 자발적 프레임워크를 수립하고, 연방 기관에 AI 모델의 사이버 역량 평가 방법을 개발하도록 지시하는 행정명령에 서명했다.