4월 28일 국회, 사실이 드러났다
4월 28일 국회 과학기술정보방송통신위원회 현안질의에서 한국 정부의 미토스 사태 대응 실태가 공개됐다. 이해민 조국혁신당 의원이 제시한 자료에 따르면 정부의 핵심 대응 사업 대부분이 2027년 착수 예정이거나 예산조차 확보하지 못한 상태였다.
구체적으로 과학기술정보통신부의 ‘AI 사이버 쉴드 돔 기술개발’은 2027년 착수 5개년 사업이고, 한국인터넷진흥원(KISA)의 ‘AI 사이버 예방체계 구축’도 2027년 신규사업 목표다. KISA의 보안 인재 관리체계는 예산 없이 임시 운영 중이고, 차세대 AI 보안 서비스 개발 지원은 아직 계획조차 없다. 한국형 미토스인 ‘K-미토스’ 개발은 독자 파운데이션 모델 사업 이후로 미뤄졌고, LLM 취약점을 조사·대응하는 ‘AI 레드팀’은 3~4명 규모에 업무 범위도 정해지지 않았다.
이해민 의원은 이렇게 짚었다. “다 좋은 사업인데 대부분이 기획 중, 설계 중이었고 인내를 가지고 기다려달라는 말만 들었다. 보안 관련 중장기 기술개발이 완료됐을 때 이미 무용지물이 되어 있을 수 있다는 게 가장 큰 우려다.”
두 개의 분수령 — 7월과 연말
왜 2027년이 늦은가. 앞선 글에서 다룬 미토스 사태가 만든 두 개의 분수령 때문이다.
첫 번째 분수령은 7월 초다. 앤트로픽이 운영하는 ‘프로젝트 글래스윙(Project Glasswing)’은 미토스가 찾아낸 보안 취약점이 악용되지 않도록 보호하는 장치다. 일반 공개 대신 신뢰할 수 있는 빅테크와 금융사에 90일간 먼저 정보를 줘서, 그 사이에 자기 시스템을 패치할 시간을 확보하게 하는 방식이다. 이 90일이 4월 7일부터 계산되어 7월 초에 끝난다. 그 시점에 수천 건의 취약점이 전면 공개된다.
두 번째 분수령은 연말이다. 이해민 의원은 좌담회에서 나온 전문가 의견을 인용하며 “미토스에 버금가는 AI 보안 공격 모델이 빠르면 두 달, 늦어도 연말 안에 나오기 시작할 것”이라고 경고했다. “딥시크 충격을 해킹 영역에서 경험하게 될 수 있다”는 표현이다.
이상근 고려대 AI보안연구소장은 더 직접적으로 짚었다. 취약점 공개 후 실제 악용까지 걸리는 시간은 2018년 평균 2.3년이었지만, 현재는 10시간으로 단축됐고 2028년에는 분 단위가 될 것이라는 분석이다. 한국이 패치 받는 사이 하루이틀이 걸린다는 현실에서 이 시간 단축이 그대로 위기로 이어진다.
접근권 명단에 한국이 없다
여기서 두 번째 사실이 합쳐진다. 글래스윙 명단에 미국 기업·기관 52개가 들어갔고, 해외 기관 중에는 영국의 AI 안전연구소(AISI)가 유일하게 참여했다. 한국은 없다.
이해민 의원은 이 점을 정면으로 짚었다. “대한민국은 스탠퍼드 AI 인덱스에서 세계 3위권으로 평가받고 있다. 그런데 우리가 아니라 영국이 글래스윙에 참여했다.” 류제명 과기정통부 제2차관은 답변에서 “영국이나 리눅스 재단 등이 포함된 것으로 보이나 자세한 내역은 앤스로픽 측에서 확답을 주지 않고 있는 상황”이라고 했다. 한국 정부가 협의를 시도했지만 확답을 받지 못한 상태다.
이 비대칭이 7월에 결정적으로 드러난다. 명단에 들어간 기업들은 90일 동안 시스템을 패치할 시간을 받았다. 한국 기업들은 그 시간을 받지 못한다. 정보 공백 상태로 7월을 맞이하고, 정부 대응 사업이 본격 가동되기까지는 2027년까지 기다려야 하는 구조다.
일주일 사이 한국에서 일어난 일
그렇다고 정부가 손을 놓고 있었던 것은 아니다. 4월 13일부터 26일까지 일주일 남짓한 시간 동안 한국 정부 거의 전 부처가 동시에 움직였다.
4월 13일 금융감독원이 주요 은행 정보보안 담당자를 모았다. 4월 14일 과기정통부가 통신 3사와 네이버·카카오·우아한형제들·쿠팡의 정보보호최고책임자(CISO)를 모았다. 4월 15일 금융위원회가 은행·보험권 CISO와 디지털금융안전법 제정 가속화를 논의했다. 4월 16일이 가장 분주한 날이었다. 과기정통부가 SK하이닉스 등 40개사 CISO 간담회를 열었고, 청와대 국가안보실이 민·관·군에 긴급 대응을 주문했다. 4월 23일에는 PwC컨설팅이 유동수 의원과 공동으로 영등포구 FKI타워에서 미토스 사태 긴급 좌담회를 열었다. 정·재계와 학계 관계자 100여 명이 모였다.
기업 측도 즉각 대응에 들어갔다. 네이버는 AI 기반 새 공격 유형 연구와 방어 모니터링을 강화했다. 네이버클라우드는 모의해킹 엔지니어 채용에 나섰고, 카카오는 내부 정보보호 체계를 재점검했다. SK텔레콤·KT·LG유플러스는 네트워크 인프라 보안 점검을 강화하고 AI 기반 침입 탐지 시스템을 풀가동했다.
다만 현장에서는 한계도 나왔다. 한 보안 담당자는 “미토스를 직접 경험하지 못한 상태에서 구체적인 대응책을 마련하는 데 한계가 있다”고 했다. 어느 수준까지 방어 체계를 확장해야 할지 기준 자체를 잡기 어렵다는 뜻이다. 미토스를 직접 써본 글로벌 40개 기업이 “민관 공동 대응이 필수”라고 발표한 것도 같은 맥락이다.
4월 27일 청와대, 의제에 없었던 미토스
4월 27일 청와대에서 대통령과 데미스 하사비스 구글 딥마인드 CEO의 회담이 열렸다. 알파고 10주년을 기념하는 이 자리에서 구글 AI 캠퍼스 서울 개소, K-문샷 프로젝트 양해각서 체결, 구글 연구진 10명 한국 파견 같은 산업 협력 성과가 발표됐다.
의미 있는 성과들이다. 그런데 보도된 회담 내용에서 미토스나 사이버보안 무기화 같은 단어는 찾기 어렵다. 일주일 전 정부 부처들이 동시에 긴급 회의를 연 그 사태가 정상급 의제에는 오르지 않았다는 뜻이다. 미토스가 앤트로픽의 모델이지 구글 딥마인드의 사안은 아니라는 반론은 가능하지만, 한국이 글로벌 AI 보안 명단에서 빠진 시점에 빅테크 CEO를 만난다면 산업 협력만이 아니라 보안 거버넌스에 한국이 어떻게 합류할지를 의제에 올릴 수 있는 자리였다. 그 기회가 활용되지 않았다.
한국이 손에 들 수 있는 카드
그렇다면 한국은 7월까지 남은 두 달 사이에 무엇을 할 수 있는가. 한국이 협상력이 약한 나라는 아니다. SK하이닉스의 1분기 영업이익 컨센서스가 35조~40조 원에 이를 만큼, 한국은 AI 인프라 핵심 부품인 HBM 반도체에서 글로벌 경쟁력을 가지고 있다. 카카오톡·네이버·토스 같은 국민 앱이 일상에 깊이 통합된 AI 일상 사용국이라는 위치도 보안 대응 경험 자산이 될 수 있다. 디지털금융안전법과 전자금융거래법 개정안이 진행 중인 점도 변수다.
전문가들의 처방도 명확하다. 이상근 소장은 국가 AI 보안센터 설립과 자체 취약점 분석 체계 구축, “산업 육성에서 국가 리스크 관리로” 패러다임 전환을 주장한다. 이성엽 고려대 기술경영전문대학원 교수는 미국의 사이버보안 인프라청(CISA), 영국의 국가사이버보안센터(NCSC) 같은 통합 컨트롤타워 신설을 강조한다. “한국처럼 여러 부처가 사이버 보안을 나눠서 하는 나라는 없다”는 지적이다. 이해민 의원은 더 구체적으로 짚었다. “K-보안 같은 명칭에 집착하지 말고, 오픈AI 등 다양한 블록과 접촉해 사이버 다중화 전략을 취해야 한다.”
결국 진짜 질문은 이거다. 미토스 접근권 명단에서 한국이 빠졌다는 사실, 핵심 대응 사업이 2027년에야 시작한다는 사실, 4월 27일 정상급 회담에서 미토스가 의제에 오르지 않았다는 사실을 어떻게 받아들일 것인가. 단순한 배제와 시간 부족으로 본다면 7월 골든타임을 흘려보낼 것이고, 정부 대응 우선순위의 부재로 진단한다면 두 달 안에 카드를 펼치는 시도가 될 것이다. 5월에서 6월 사이 한국 정부와 기업의 움직임이 그 답을 보여줄 것 같다.
참고 자료
- 이데일리, “미토스 7월 취약점 공개, 정부는 기다리란 말만…이해민 의원, 정부 대응 질타” (2026.04.28) — 기사 링크
- 이데일리, “정치권서도 우려 커진 ‘미토스’…정부 ‘보안 우회 가능성 확인'” (2026.04.28) — 기사 링크
- 머니투데이, “전세계 미토스 쇼크 한창인데…’정부 보안사업 시작도 못해'” (2026.04.28)
- 서울경제, “‘미토스 사태’ 긴급 대응…’정부가 나서야’ [시그널]” (2026.04.23) — 기사 링크
- 문화일보, “[단독] ‘AI 괴물 해커’ 미토스 쇼크… 정부, 앤스로픽 긴급면담 추진” (2026.04.21) — 기사 링크
- 매일일보, “[기획]통신사·네카오까지 번진 보안 충격…미토스 대응 태세 돌입” (2026.04.23) — 기사 링크
- 오마이뉴스, 신상호, “글래스윙에 한국 0개 — 블레츨리 파크의 교훈” (2026.04.26)
- ZDNet Korea, “전 세계 첫 구글 AI 캠퍼스, 한국에 문 연다…딥마인드와 ‘K-문샷’ 추진” (2026.04.27) — 기사 링크
- The Guru, “앤트로픽 ‘미토스’ 맛 본 기업들 ‘민관 공동 대응’ 재앙적 위협 경고” (2026.04.27)
- Reuters, “Anthropic plans Mythos access for European banks” (2026.04.21)
- Bloomberg, 요아힘 나겔 독일 연방은행 총재 인터뷰 (2026.04)
- Axios, “NSA using Anthropic’s Mythos despite blacklist” (2026.04.23)
본 글은 공개된 언론 보도와 국회 현안질의 자료를 토대로 작성된 분석 매거진 콘텐츠입니다. 인용된 발언과 통계는 각 출처를 따랐으며, 분석과 해석은 필자의 의견입니다. 미토스 관련 기술 정보와 정부 대응 현황은 시간에 따라 변동될 수 있으므로, 구체적인 보안 대응이나 정책 결정은 공식 발표 자료를 함께 확인하시기 바랍니다.