4월 28일 국회 과학기술정보방송통신위원회 현안질의에서 한국 정부의 미토스 사태 대응 실태가 공개됐다. 이해민 조국혁신당 의원이 제시한 자료에 따르면 정부의 핵심 대응 사업 대부분이 2027년 착수 예정이거나 예산조차 확보하지 못한 상태였다.

구체적으로 과학기술정보통신부의 ‘AI 사이버 쉴드 돔 기술개발’은 2027년 착수 5개년 사업이고, 한국인터넷진흥원(KISA)의 ‘AI 사이버 예방체계 구축’도 2027년 신규사업 목표다. KISA의 보안 인재 관리체계는 예산 없이 임시 운영 중이고, 차세대 AI 보안 서비스 개발 지원은 아직 계획조차 없다. 한국형 미토스인 ‘K-미토스’ 개발은 독자 파운데이션 모델 사업 이후로 미뤄졌고, LLM 취약점을 조사·대응하는 ‘AI 레드팀’은 3~4명 규모에 업무 범위도 정해지지 않았다.

이해민 의원은 이렇게 짚었다. “다 좋은 사업인데 대부분이 기획 중, 설계 중이었고 인내를 가지고 기다려달라는 말만 들었다. 보안 관련 중장기 기술개발이 완료됐을 때 이미 무용지물이 되어 있을 수 있다는 게 가장 큰 우려다.”

두 개의 분수령 — 7월과 연말

왜 2027년이 늦은가. 앞선 글에서 다룬 미토스 사태가 만든 두 개의 분수령 때문이다.

첫 번째 분수령은 7월 초다. 앤트로픽이 운영하는 ‘프로젝트 글래스윙(Project Glasswing)’은 미토스가 찾아낸 보안 취약점이 악용되지 않도록 보호하는 장치다. 일반 공개 대신 신뢰할 수 있는 빅테크와 금융사에 90일간 먼저 정보를 줘서, 그 사이에 자기 시스템을 패치할 시간을 확보하게 하는 방식이다. 이 90일이 4월 7일부터 계산되어 7월 초에 끝난다. 그 시점에 수천 건의 취약점이 전면 공개된다.

두 번째 분수령은 연말이다. 이해민 의원은 좌담회에서 나온 전문가 의견을 인용하며 “미토스에 버금가는 AI 보안 공격 모델이 빠르면 두 달, 늦어도 연말 안에 나오기 시작할 것”이라고 경고했다. “딥시크 충격을 해킹 영역에서 경험하게 될 수 있다”는 표현이다.

이상근 고려대 AI보안연구소장은 더 직접적으로 짚었다. 취약점 공개 후 실제 악용까지 걸리는 시간은 2018년 평균 2.3년이었지만, 현재는 10시간으로 단축됐고 2028년에는 분 단위가 될 것이라는 분석이다. 한국이 패치 받는 사이 하루이틀이 걸린다는 현실에서 이 시간 단축이 그대로 위기로 이어진다.

접근권 명단에 한국이 없다

여기서 두 번째 사실이 합쳐진다. 글래스윙 명단에 미국 기업·기관 52개가 들어갔고, 해외 기관 중에는 영국의 AI 안전연구소(AISI)가 유일하게 참여했다. 한국은 없다.

이해민 의원은 이 점을 정면으로 짚었다. “대한민국은 스탠퍼드 AI 인덱스에서 세계 3위권으로 평가받고 있다. 그런데 우리가 아니라 영국이 글래스윙에 참여했다.” 류제명 과기정통부 제2차관은 답변에서 “영국이나 리눅스 재단 등이 포함된 것으로 보이나 자세한 내역은 앤스로픽 측에서 확답을 주지 않고 있는 상황”이라고 했다. 한국 정부가 협의를 시도했지만 확답을 받지 못한 상태다.

이 비대칭이 7월에 결정적으로 드러난다. 명단에 들어간 기업들은 90일 동안 시스템을 패치할 시간을 받았다. 한국 기업들은 그 시간을 받지 못한다. 정보 공백 상태로 7월을 맞이하고, 정부 대응 사업이 본격 가동되기까지는 2027년까지 기다려야 하는 구조다.

일주일 사이 한국에서 일어난 일

그렇다고 정부가 손을 놓고 있었던 것은 아니다. 4월 13일부터 26일까지 일주일 남짓한 시간 동안 한국 정부 거의 전 부처가 동시에 움직였다.

4월 13일 금융감독원이 주요 은행 정보보안 담당자를 모았다. 4월 14일 과기정통부가 통신 3사와 네이버·카카오·우아한형제들·쿠팡의 정보보호최고책임자(CISO)를 모았다. 4월 15일 금융위원회가 은행·보험권 CISO와 디지털금융안전법 제정 가속화를 논의했다. 4월 16일이 가장 분주한 날이었다. 과기정통부가 SK하이닉스 등 40개사 CISO 간담회를 열었고, 청와대 국가안보실이 민·관·군에 긴급 대응을 주문했다. 4월 23일에는 PwC컨설팅이 유동수 의원과 공동으로 영등포구 FKI타워에서 미토스 사태 긴급 좌담회를 열었다. 정·재계와 학계 관계자 100여 명이 모였다.

기업 측도 즉각 대응에 들어갔다. 네이버는 AI 기반 새 공격 유형 연구와 방어 모니터링을 강화했다. 네이버클라우드는 모의해킹 엔지니어 채용에 나섰고, 카카오는 내부 정보보호 체계를 재점검했다. SK텔레콤·KT·LG유플러스는 네트워크 인프라 보안 점검을 강화하고 AI 기반 침입 탐지 시스템을 풀가동했다.

다만 현장에서는 한계도 나왔다. 한 보안 담당자는 “미토스를 직접 경험하지 못한 상태에서 구체적인 대응책을 마련하는 데 한계가 있다”고 했다. 어느 수준까지 방어 체계를 확장해야 할지 기준 자체를 잡기 어렵다는 뜻이다. 미토스를 직접 써본 글로벌 40개 기업이 “민관 공동 대응이 필수”라고 발표한 것도 같은 맥락이다.

4월 27일 청와대, 의제에 없었던 미토스

4월 27일 청와대에서 대통령과 데미스 하사비스 구글 딥마인드 CEO의 회담이 열렸다. 알파고 10주년을 기념하는 이 자리에서 구글 AI 캠퍼스 서울 개소, K-문샷 프로젝트 양해각서 체결, 구글 연구진 10명 한국 파견 같은 산업 협력 성과가 발표됐다.

의미 있는 성과들이다. 그런데 보도된 회담 내용에서 미토스나 사이버보안 무기화 같은 단어는 찾기 어렵다. 일주일 전 정부 부처들이 동시에 긴급 회의를 연 그 사태가 정상급 의제에는 오르지 않았다는 뜻이다. 미토스가 앤트로픽의 모델이지 구글 딥마인드의 사안은 아니라는 반론은 가능하지만, 한국이 글로벌 AI 보안 명단에서 빠진 시점에 빅테크 CEO를 만난다면 산업 협력만이 아니라 보안 거버넌스에 한국이 어떻게 합류할지를 의제에 올릴 수 있는 자리였다. 그 기회가 활용되지 않았다.

한국이 손에 들 수 있는 카드

그렇다면 한국은 7월까지 남은 두 달 사이에 무엇을 할 수 있는가. 한국이 협상력이 약한 나라는 아니다. SK하이닉스의 1분기 영업이익 컨센서스가 35조~40조 원에 이를 만큼, 한국은 AI 인프라 핵심 부품인 HBM 반도체에서 글로벌 경쟁력을 가지고 있다. 카카오톡·네이버·토스 같은 국민 앱이 일상에 깊이 통합된 AI 일상 사용국이라는 위치도 보안 대응 경험 자산이 될 수 있다. 디지털금융안전법과 전자금융거래법 개정안이 진행 중인 점도 변수다.

전문가들의 처방도 명확하다. 이상근 소장은 국가 AI 보안센터 설립과 자체 취약점 분석 체계 구축, “산업 육성에서 국가 리스크 관리로” 패러다임 전환을 주장한다. 이성엽 고려대 기술경영전문대학원 교수는 미국의 사이버보안 인프라청(CISA), 영국의 국가사이버보안센터(NCSC) 같은 통합 컨트롤타워 신설을 강조한다. “한국처럼 여러 부처가 사이버 보안을 나눠서 하는 나라는 없다”는 지적이다. 이해민 의원은 더 구체적으로 짚었다. “K-보안 같은 명칭에 집착하지 말고, 오픈AI 등 다양한 블록과 접촉해 사이버 다중화 전략을 취해야 한다.”

결국 진짜 질문은 이거다. 미토스 접근권 명단에서 한국이 빠졌다는 사실, 핵심 대응 사업이 2027년에야 시작한다는 사실, 4월 27일 정상급 회담에서 미토스가 의제에 오르지 않았다는 사실을 어떻게 받아들일 것인가. 단순한 배제와 시간 부족으로 본다면 7월 골든타임을 흘려보낼 것이고, 정부 대응 우선순위의 부재로 진단한다면 두 달 안에 카드를 펼치는 시도가 될 것이다. 5월에서 6월 사이 한국 정부와 기업의 움직임이 그 답을 보여줄 것 같다.

참고 자료

• 이데일리, “미토스 7월 취약점 공개, 정부는 기다리란 말만…이해민 의원, 정부 대응 질타” (2026.04.28) — 기사 링크
• 이데일리, “정치권서도 우려 커진 ‘미토스’…정부 ‘보안 우회 가능성 확인'” (2026.04.28) — 기사 링크
• 머니투데이, “전세계 미토스 쇼크 한창인데…’정부 보안사업 시작도 못해'” (2026.04.28)
• 서울경제, “‘미토스 사태’ 긴급 대응…’정부가 나서야’ [시그널]” (2026.04.23) — 기사 링크
• 문화일보, “[단독] ‘AI 괴물 해커’ 미토스 쇼크… 정부, 앤스로픽 긴급면담 추진” (2026.04.21) — 기사 링크
• 매일일보, “[기획]통신사·네카오까지 번진 보안 충격…미토스 대응 태세 돌입” (2026.04.23) — 기사 링크
• 오마이뉴스, 신상호, “글래스윙에 한국 0개 — 블레츨리 파크의 교훈” (2026.04.26)
• ZDNet Korea, “전 세계 첫 구글 AI 캠퍼스, 한국에 문 연다…딥마인드와 ‘K-문샷’ 추진” (2026.04.27) — 기사 링크
• The Guru, “앤트로픽 ‘미토스’ 맛 본 기업들 ‘민관 공동 대응’ 재앙적 위협 경고” (2026.04.27)
• Reuters, “Anthropic plans Mythos access for European banks” (2026.04.21)
• Bloomberg, 요아힘 나겔 독일 연방은행 총재 인터뷰 (2026.04)
• Axios, “NSA using Anthropic’s Mythos despite blacklist” (2026.04.23)

본 글은 공개된 언론 보도와 국회 현안질의 자료를 토대로 작성된 분석 매거진 콘텐츠입니다. 인용된 발언과 통계는 각 출처를 따랐으며, 분석과 해석은 필자의 의견입니다. 미토스 관련 기술 정보와 정부 대응 현황은 시간에 따라 변동될 수 있으므로, 구체적인 보안 대응이나 정책 결정은 공식 발표 자료를 함께 확인하시기 바랍니다.

게시물 한국은 회의를 열었지만, AI 보안 사업은 2027년에야 시작한다 — 미토스 7월 분수령까지의 진단이 Value Chain of Life에 처음 등장했습니다.

공격 속도가 바뀌었고, 글로벌 시장의 대응 속도가 바뀌었다.

그러나 방어 제도의 속도는 여전히 예전 그대로다.

속도가 맞지 않는 전쟁터에서 제일 먼저 무너지는 곳은 언제나 가장 느린 쪽이다. IT 업계에서 20여년을 보낸 입장에서, 이 속도 격차가 미토스 쇼크의 가장 무서운 대목이다.

공격은 시간 단위가 됐고, 시장은 며칠 단위로 반응했다

먼저 기술의 발전 속도. 이전 글에서 미토스가 오픈BSD의 27년 묵은 보안 버그를 찾아냈다는 얘기를 했는데, 그걸 해낸 비용이 약 2만 달러, 시간은 이틀이었다. 화이트해커 팀 하나를 꾸려 몇 개월에 걸쳐 해도 될까 말까 한 일을, AI 한 개가 이틀 만에 해냈다는 뜻이다.

이게 의미하는 건 취약점 발견에서 무기화로 넘어가는 시간의 단위 자체가 바뀌었다는 것이다. 몇 년 걸리던 주기가 이제 하루 이틀로 압축된다. 미국의 비영리 사이버 보안 단체 클라우드 시큐리티 얼라이언스(CSA)는 미토스 대응 보고서에서 이렇게 썼다.

“기존 해킹 사고 탐지·대응 체계는 인간의 대응 속도를 전제로 설계돼 있어 AI 기반 공격자에게 비대칭적 속도 우위를 허용하고 있다.”

현장에서의 체감적인 느낌으로 봐도 정확한 지적이다. 그리고 시장은 이 속도 변화를 며칠 만에 반영했다. 오픈AI는 미토스 발표 일주일 뒤인 4월 14일 “GPT-5.4 사이버”를 내놨다. 취약점 분석, 악성코드 탐지, 침해 대응 같은 방어 영역에 특화시킨 모델이다. 앤트로픽의 미토스가 “위험하지만 우리가 통제한다”로 포지션을 잡았다면, 오픈AI는 “처음부터 방어 편이다”라는 쪽으로 자리를 잡았다.

박한우 영남대 미디어커뮤니케이션학과 교수는 이 흐름을 이렇게 진단했다. “보안은 더 이상 공격(창)을 방어(방패)로 막는 경쟁이 아니라 ‘신뢰를 어떻게 설계할 것인가’의 문제로 이동하고 있다. 우위를 점하는 쪽은 공격 능력이 뛰어난 쪽이 아니라 보이지 않는 인프라와 규칙을 설계·통제하는 쪽이다.”

그간 IT 업계가 걸어온 방향성으로 봤을때, 구글과 마이크로소프트가 곧 뭔가 맞불을 놓을 거라는 예측은 어렵지 않다. 빅테크는 한쪽이 치고 나가면 다른 쪽이 반드시 따라오게 돼 있다.

한국 정부는 9천억 원을 꺼냈지만, 그건 5년 프로젝트다

한국 정부도 그 사이 움직였다. 과학기술정보통신부는 AI 사이버 공격에 자동으로 대응하고 해킹 피해를 스스로 복구하는 자가 방어 시스템 “AI 사이버 실드 돔” 연구 프로젝트를 공식 추진하기 시작했다. 정보통신기획평가원(IITP) 주관으로 2027년부터 2032년까지 약 9천억 원 규모의 예산이 투입될 전망이다.

규모는 의미가 있다. 정부가 AI 보안을 국가 안보이자 전략 산업으로 격상하겠다고 선언한 것도 처음이다. 방향도 맞다.

그런데 시간표를 보면 마음이 복잡해진다. 2027년 착수, 2032년 완료. 이 일정이 성립하려면 공격 속도가 지금 수준에서 크게 안 바뀐다는 전제가 필요하다. 그런데 미토스 하나가 이미 공격 속도를 10배 가까이 끌어올렸다. 이 전쟁에서 5년은 긴 시간이다. 이건 일부 의견이 있지만 확정된 팩트는 아니다. 다만 IT 업계에서 5년짜리 국책 프로젝트가 그 사이에 전제가 바뀌지 않고 무사히 끝나는 경우가 얼마나 되었을까? 하는 우려가 “기우”가 아니길 바랄뿐이다.

국내 통신 3사는 아직 2025년을 수습 중이다

국내에서 가장 긴장하는 곳은 통신 3사다. SK텔레콤, KT, LG유플러스 모두 4월 둘째 주부터 보안 시스템 재정비에 들어갔다. 다른 산업보다 유독 분주해 보이는 데는 이유가 있다.

사연은 2025년으로 거슬러 올라간다. SK텔레콤은 2025년 4월 대규모 개인정보 유출 사고를 겪으며 시장 점유율이 40% 아래로 내려갔다. KT는 2025년 9월 유사한 사고로 고객 이탈을 겪었다. LG유플러스는 2025년 8월 미국 보안 전문지 “프랙(Phrack)”이 해커가 LG유플러스 서버 8,938대와 계정 4만 2,256개, 직원 정보 167명을 탈취했다고 보도한 이후, 과기정통부·한국인터넷진흥원 민관합동조사단이 조사에 착수했다. 그러나 조사 시점에 이미 서버가 재설치돼 해킹 흔적을 찾지 못했고, 은폐 의혹까지 제기되면서 2025년 말 경찰에 수사가 의뢰됐고 지난달에는 서울 강서구 LG유플러스 마곡 사옥이 압수수색을 받았다.

이렇듯 작년에 통신 3사 모두 보안이슈로 어수선한 한해를 보낸 상태에서, 이번에는 미토스가 등장한 거다. 이미 뚫렸던 조직이, 아직 그 수습도 다 못 끝낸 상태에서, 새로 등장한 훨씬 더 강한 공격 도구의 존재를 알게 된 상황이다. 업계 한 관계자가 “지난해 신원 미상 해커의 공격에 속수무책으로 당했던 통신사로서는 민감하게 바라볼 수밖에 없는 사안”이라고 한 말이 그 분위기를 정확히 요약한다.

배경훈 과기정통부 장관이 4월 16일 회의에서 “수십 년간 축적된 보안 체계가 손쉽게 무력화될 수 있다”고 한 발언은 원론적 경고처럼 들리지만, 이미 뚫린 경험이 있는 통신사 귀에는 훨씬 구체적인 예언으로 들릴 수밖에 없다.

가장 아이러니한 병목 — 방어 제도가 방어 속도를 늦추고 있다

이번 미토스 쇼크 관련 기사들을 읽으며 눈길이 갔던건, 김승주 고려대 정보보호대학원 교수가 한겨레 인터뷰에서 짚은 지점이다.

“정보보호 강화를 위해 도입한 제도가 사이버 보안 패러다임의 변화로 오히려 신속한 대응을 어렵게 만드는 아이러니한 상황이 발생한 것이다. 기술적인 대책뿐 아니라 기존 대응 프로세스의 재설계도 함께 검토해야 한다.”

배경은 이렇다. 2025년 해킹 사고가 잇따르자 정부는 CISO(정보보호최고책임자)를 임원급으로 지정하고, 이사회에 정보보호 현황을 정기적으로 보고하도록 제도를 강화했다. 좋은 취지였다. 조직이 보안을 “실무 부서의 일”이 아니라 “경영진의 일”로 받게 만드는 장치였다.

그런데 AI 기반 공격은 시간 단위로 전개된다. 해커가 취약점을 찾아내고 무기화해서 공격에 투입하는 데 몇 시간이면 된다. 같은 시간에 방어자 쪽은 담당자가 이슈를 파악하고, 실장에게 보고하고, 임원 결재를 받고, 이사회에 공유하는 절차를 밟는다. 이 절차 자체가 “공격 속도”를 상정하지 않고 설계된 게 문제다.

20여년을 IT업계에서 보내면서 반복적으로 본 패턴이다. 감사 친화적 제도는 필연적으로 즉시성을 해친다. 보고 단계가 많아질수록 책임 소재는 명확해지지만, 그 반대급부로 실무 판단이 위로 올라가는 시간이 길어진다. 평시에는 이 교환이 감당 가능했다. 그런데 공격 속도가 10배로 빨라진 지금, 교환 비율이 무너지고 있다.

한국 AI 경쟁력은 3위, 그러나 그늘도 같이 왔다

같은 주에 좋은 뉴스도 있었다. 스탠퍼드대 AI 인덱스 2026 보고서에 따르면 한국은 주요 AI 모델 수 기준 세계 3위(5개)를 기록했다. 1위 미국(50개), 2위 중국(30개) 다음이다. 인구 10만 명당 AI 특허 수 14.31개로 2년 연속 세계 1위도 유지했다.

그러나 같은 보고서는 민간 투자 규모와 AI 인재 확보 측면에서는 여전히 주요 경쟁국 대비 부족하다고 지적했다. 기술 생산은 잘하지만 그걸 뒷받침할 자본과 사람이 부족하다는 얘기다. 이 격차는 AI 보안 영역에서 가장 먼저 터질 가능성이 있다. 공격용 AI 모델은 소수 전문가만 있어도 만들 수 있지만, 그걸 방어하는 체계는 훨씬 많은 사람과 돈이 든다.

일반인 입장에서는 무엇을 할수 있을까?

지난 글에서도 언급했지만 AI 해킹 전쟁에서 개인 사용자가 할 수 있는 몫은 크지 않다. 내 집 문단속은 내가 해도, 아파트 중앙 관제실 해킹이나 내 휴대폰 서비스 회사의 해킹은 내가 할수 있는것이 없고 책임도 아니다.

그러나 한 가지는 확실하다. 자동화된 공격이 초당 수천 건의 계정을 시도하는 시대에, 비밀번호 하나만 뚫리면 연결된 모든 계정이 무너진다는 무서운 현실이다. 이젠 돌다리도 두들겨 보고 조금이라도 불안하면 아예 안건너는게 상책일수도 있다. 아런 일반론적인 다짐(?)과 당부(?) 외에는 창과 방패의 싸움을 지켜봐야 할 만큼 점점 그 리스크 변곡점은 다가오고 있다.

3분 요약

• 미토스 쇼크의 1주 차가 “무엇이 벌어졌나”였다면 2주 차는 “모든 속도가 바뀌었다”는 풍경이었다
• 공격 속도는 시간 단위로 짧아졌고, 미국 시장은 며칠 만에 오픈AI의 “GPT-5.4 사이버” 맞불로 반응했다
• 한국 정부는 2027~2032년 약 9천억 원 규모의 “AI 사이버 실드 돔” 프로젝트를 꺼냈지만, 5년짜리 일정은 공격 속도와 맞지 않는다
• 국내 통신 3사는 2025년 대규모 해킹 사고의 수습도 끝내지 못한 상태에서 미토스를 맞닥뜨렸다
• 2025년 강화된 CISO·이사회 보고 제도가 오히려 방어 속도를 늦추는 역설이 드러났다
• 한국은 AI 모델 수 3위, 특허 수 2년 연속 1위지만 민간 투자와 인재에서는 뒤쳐져 있어 보안 영역이 가장 먼저 영향을 받을 수 있다.

참고 기사

• 한겨레, “AI가 세계 최고 해커 될 수도…’미토스 쇼크’ 정보보호 체계 흔든다”, 2026.04.15
• 뉴스1, “‘미토스 쇼크’에 오픈AI 맞불…AI 패권 경쟁, 이제는 ‘보안'”, 2026.04.17
• 뉴스웨이, “통신3사도 ‘미토스 쇼크’에 ‘시름’…보안 위협에 골머리”, 2026.04.18
• 연합뉴스, “[AI위클리] 미토스 충격에 AI 판 흔들…보안이 ‘생존 변수’로”, 2026.04.19

게시물 미토스 쇼크’ 그 다음 주 — 공격은 시간 단위가 됐는데, 아직 우린 2025년을 수습 중이다이 Value Chain of Life에 처음 등장했습니다.