지난주 “클로드 미토스가 뭔데 한국정부까지도 난리지?”라는 글로 미토스 쇼크의 1주 차 풍경을 정리했다. 그 사이 또 일주일이 지났고, 기사들을 읽다 보니 한 가지 사실이 눈에 들어왔다. 이 사태의 진짜 이야기는 “AI가 얼마나 똑똑해졌나”가 아니라 “모든 것의 속도가 바뀌었다”는 쪽에 있다는 것이다.
공격 속도가 바뀌었고, 글로벌 시장의 대응 속도가 바뀌었다.
그러나 방어 제도의 속도는 여전히 예전 그대로다.
속도가 맞지 않는 전쟁터에서 제일 먼저 무너지는 곳은 언제나 가장 느린 쪽이다. IT 업계에서 20여년을 보낸 입장에서, 이 속도 격차가 미토스 쇼크의 가장 무서운 대목이다.
공격은 시간 단위가 됐고, 시장은 며칠 단위로 반응했다
먼저 기술의 발전 속도. 이전 글에서 미토스가 오픈BSD의 27년 묵은 보안 버그를 찾아냈다는 얘기를 했는데, 그걸 해낸 비용이 약 2만 달러, 시간은 이틀이었다. 화이트해커 팀 하나를 꾸려 몇 개월에 걸쳐 해도 될까 말까 한 일을, AI 한 개가 이틀 만에 해냈다는 뜻이다.
이게 의미하는 건 취약점 발견에서 무기화로 넘어가는 시간의 단위 자체가 바뀌었다는 것이다. 몇 년 걸리던 주기가 이제 하루 이틀로 압축된다. 미국의 비영리 사이버 보안 단체 클라우드 시큐리티 얼라이언스(CSA)는 미토스 대응 보고서에서 이렇게 썼다.
“기존 해킹 사고 탐지·대응 체계는 인간의 대응 속도를 전제로 설계돼 있어 AI 기반 공격자에게 비대칭적 속도 우위를 허용하고 있다.”
현장에서의 체감적인 느낌으로 봐도 정확한 지적이다. 그리고 시장은 이 속도 변화를 며칠 만에 반영했다. 오픈AI는 미토스 발표 일주일 뒤인 4월 14일 “GPT-5.4 사이버”를 내놨다. 취약점 분석, 악성코드 탐지, 침해 대응 같은 방어 영역에 특화시킨 모델이다. 앤트로픽의 미토스가 “위험하지만 우리가 통제한다”로 포지션을 잡았다면, 오픈AI는 “처음부터 방어 편이다”라는 쪽으로 자리를 잡았다.
박한우 영남대 미디어커뮤니케이션학과 교수는 이 흐름을 이렇게 진단했다. “보안은 더 이상 공격(창)을 방어(방패)로 막는 경쟁이 아니라 ‘신뢰를 어떻게 설계할 것인가’의 문제로 이동하고 있다. 우위를 점하는 쪽은 공격 능력이 뛰어난 쪽이 아니라 보이지 않는 인프라와 규칙을 설계·통제하는 쪽이다.”
그간 IT 업계가 걸어온 방향성으로 봤을때, 구글과 마이크로소프트가 곧 뭔가 맞불을 놓을 거라는 예측은 어렵지 않다. 빅테크는 한쪽이 치고 나가면 다른 쪽이 반드시 따라오게 돼 있다.
한국 정부는 9천억 원을 꺼냈지만, 그건 5년 프로젝트다
한국 정부도 그 사이 움직였다. 과학기술정보통신부는 AI 사이버 공격에 자동으로 대응하고 해킹 피해를 스스로 복구하는 자가 방어 시스템 “AI 사이버 실드 돔” 연구 프로젝트를 공식 추진하기 시작했다. 정보통신기획평가원(IITP) 주관으로 2027년부터 2032년까지 약 9천억 원 규모의 예산이 투입될 전망이다.
규모는 의미가 있다. 정부가 AI 보안을 국가 안보이자 전략 산업으로 격상하겠다고 선언한 것도 처음이다. 방향도 맞다.
그런데 시간표를 보면 마음이 복잡해진다. 2027년 착수, 2032년 완료. 이 일정이 성립하려면 공격 속도가 지금 수준에서 크게 안 바뀐다는 전제가 필요하다. 그런데 미토스 하나가 이미 공격 속도를 10배 가까이 끌어올렸다. 이 전쟁에서 5년은 긴 시간이다. 이건 일부 의견이 있지만 확정된 팩트는 아니다. 다만 IT 업계에서 5년짜리 국책 프로젝트가 그 사이에 전제가 바뀌지 않고 무사히 끝나는 경우가 얼마나 되었을까? 하는 우려가 “기우”가 아니길 바랄뿐이다.
국내 통신 3사는 아직 2025년을 수습 중이다
국내에서 가장 긴장하는 곳은 통신 3사다. SK텔레콤, KT, LG유플러스 모두 4월 둘째 주부터 보안 시스템 재정비에 들어갔다. 다른 산업보다 유독 분주해 보이는 데는 이유가 있다.
사연은 2025년으로 거슬러 올라간다. SK텔레콤은 2025년 4월 대규모 개인정보 유출 사고를 겪으며 시장 점유율이 40% 아래로 내려갔다. KT는 2025년 9월 유사한 사고로 고객 이탈을 겪었다. LG유플러스는 2025년 8월 미국 보안 전문지 “프랙(Phrack)”이 해커가 LG유플러스 서버 8,938대와 계정 4만 2,256개, 직원 정보 167명을 탈취했다고 보도한 이후, 과기정통부·한국인터넷진흥원 민관합동조사단이 조사에 착수했다. 그러나 조사 시점에 이미 서버가 재설치돼 해킹 흔적을 찾지 못했고, 은폐 의혹까지 제기되면서 2025년 말 경찰에 수사가 의뢰됐고 지난달에는 서울 강서구 LG유플러스 마곡 사옥이 압수수색을 받았다.
이렇듯 작년에 통신 3사 모두 보안이슈로 어수선한 한해를 보낸 상태에서, 이번에는 미토스가 등장한 거다. 이미 뚫렸던 조직이, 아직 그 수습도 다 못 끝낸 상태에서, 새로 등장한 훨씬 더 강한 공격 도구의 존재를 알게 된 상황이다. 업계 한 관계자가 “지난해 신원 미상 해커의 공격에 속수무책으로 당했던 통신사로서는 민감하게 바라볼 수밖에 없는 사안”이라고 한 말이 그 분위기를 정확히 요약한다.
배경훈 과기정통부 장관이 4월 16일 회의에서 “수십 년간 축적된 보안 체계가 손쉽게 무력화될 수 있다”고 한 발언은 원론적 경고처럼 들리지만, 이미 뚫린 경험이 있는 통신사 귀에는 훨씬 구체적인 예언으로 들릴 수밖에 없다.
가장 아이러니한 병목 — 방어 제도가 방어 속도를 늦추고 있다
이번 미토스 쇼크 관련 기사들을 읽으며 눈길이 갔던건, 김승주 고려대 정보보호대학원 교수가 한겨레 인터뷰에서 짚은 지점이다.
“정보보호 강화를 위해 도입한 제도가 사이버 보안 패러다임의 변화로 오히려 신속한 대응을 어렵게 만드는 아이러니한 상황이 발생한 것이다. 기술적인 대책뿐 아니라 기존 대응 프로세스의 재설계도 함께 검토해야 한다.”
배경은 이렇다. 2025년 해킹 사고가 잇따르자 정부는 CISO(정보보호최고책임자)를 임원급으로 지정하고, 이사회에 정보보호 현황을 정기적으로 보고하도록 제도를 강화했다. 좋은 취지였다. 조직이 보안을 “실무 부서의 일”이 아니라 “경영진의 일”로 받게 만드는 장치였다.
그런데 AI 기반 공격은 시간 단위로 전개된다. 해커가 취약점을 찾아내고 무기화해서 공격에 투입하는 데 몇 시간이면 된다. 같은 시간에 방어자 쪽은 담당자가 이슈를 파악하고, 실장에게 보고하고, 임원 결재를 받고, 이사회에 공유하는 절차를 밟는다. 이 절차 자체가 “공격 속도”를 상정하지 않고 설계된 게 문제다.
20여년을 IT업계에서 보내면서 반복적으로 본 패턴이다. 감사 친화적 제도는 필연적으로 즉시성을 해친다. 보고 단계가 많아질수록 책임 소재는 명확해지지만, 그 반대급부로 실무 판단이 위로 올라가는 시간이 길어진다. 평시에는 이 교환이 감당 가능했다. 그런데 공격 속도가 10배로 빨라진 지금, 교환 비율이 무너지고 있다.
한국 AI 경쟁력은 3위, 그러나 그늘도 같이 왔다
같은 주에 좋은 뉴스도 있었다. 스탠퍼드대 AI 인덱스 2026 보고서에 따르면 한국은 주요 AI 모델 수 기준 세계 3위(5개)를 기록했다. 1위 미국(50개), 2위 중국(30개) 다음이다. 인구 10만 명당 AI 특허 수 14.31개로 2년 연속 세계 1위도 유지했다.
그러나 같은 보고서는 민간 투자 규모와 AI 인재 확보 측면에서는 여전히 주요 경쟁국 대비 부족하다고 지적했다. 기술 생산은 잘하지만 그걸 뒷받침할 자본과 사람이 부족하다는 얘기다. 이 격차는 AI 보안 영역에서 가장 먼저 터질 가능성이 있다. 공격용 AI 모델은 소수 전문가만 있어도 만들 수 있지만, 그걸 방어하는 체계는 훨씬 많은 사람과 돈이 든다.
일반인 입장에서는 무엇을 할수 있을까?
지난 글에서도 언급했지만 AI 해킹 전쟁에서 개인 사용자가 할 수 있는 몫은 크지 않다. 내 집 문단속은 내가 해도, 아파트 중앙 관제실 해킹이나 내 휴대폰 서비스 회사의 해킹은 내가 할수 있는것이 없고 책임도 아니다.
그러나 한 가지는 확실하다. 자동화된 공격이 초당 수천 건의 계정을 시도하는 시대에, 비밀번호 하나만 뚫리면 연결된 모든 계정이 무너진다는 무서운 현실이다. 이젠 돌다리도 두들겨 보고 조금이라도 불안하면 아예 안건너는게 상책일수도 있다. 아런 일반론적인 다짐(?)과 당부(?) 외에는 창과 방패의 싸움을 지켜봐야 할 만큼 점점 그 리스크 변곡점은 다가오고 있다.
3분 요약
- 미토스 쇼크의 1주 차가 “무엇이 벌어졌나”였다면 2주 차는 “모든 속도가 바뀌었다”는 풍경이었다
- 공격 속도는 시간 단위로 짧아졌고, 미국 시장은 며칠 만에 오픈AI의 “GPT-5.4 사이버” 맞불로 반응했다
- 한국 정부는 2027~2032년 약 9천억 원 규모의 “AI 사이버 실드 돔” 프로젝트를 꺼냈지만, 5년짜리 일정은 공격 속도와 맞지 않는다
- 국내 통신 3사는 2025년 대규모 해킹 사고의 수습도 끝내지 못한 상태에서 미토스를 맞닥뜨렸다
- 2025년 강화된 CISO·이사회 보고 제도가 오히려 방어 속도를 늦추는 역설이 드러났다
- 한국은 AI 모델 수 3위, 특허 수 2년 연속 1위지만 민간 투자와 인재에서는 뒤쳐져 있어 보안 영역이 가장 먼저 영향을 받을 수 있다.
참고 기사
- 한겨레, “AI가 세계 최고 해커 될 수도…’미토스 쇼크’ 정보보호 체계 흔든다”, 2026.04.15
- 뉴스1, “‘미토스 쇼크’에 오픈AI 맞불…AI 패권 경쟁, 이제는 ‘보안'”, 2026.04.17
- 뉴스웨이, “통신3사도 ‘미토스 쇼크’에 ‘시름’…보안 위협에 골머리”, 2026.04.18
- 연합뉴스, “[AI위클리] 미토스 충격에 AI 판 흔들…보안이 ‘생존 변수’로”, 2026.04.19