[이데일리 김현아 기자] 인공지능(AI)이 취약점을 찾아 공격으로 전환하는 속도가 인간의 방어 체계를 이미 넘어섰습니다. 보안 취약점이 발견된 뒤 실제 공격에 활용되기까지 걸리는 시간은 2018년 평균 2.3년에서 2026년 약 20시간으로 급격히 줄어든 것으로 분석됐습니다.

이는 CSA(클라우드 시큐리티 얼라이언스), SANS 인스티튜트, OWASP가 공동 발간한 ‘미토스 레디 보고서’에 따른 수치로, 기존 보안 체계의 전제가 빠르게 무너지고 있음을 보여줍니다.

이 변화의 중심에는 앤스로픽의 AI 모델 ‘미토스’가 있습니다. 미토스는 소프트웨어 취약점을 스스로 탐지하고 공격 시나리오까지 생성하는 것으로 알려지면서, 보안의 작동 방식 자체를 바꾸고 있다는 평가를 받고 있습니다.

최근 미국 정부가 앤스로픽 AI 미토스 대응 방안을 검토하며 다시 앤스로픽을 찾은 것, 그리고 영국·인도 등 주요 금융기관들이 미토스 접근을 요구하고 있는 흐름도 이러한 위협 환경 변화와 무관하지 않다는 분석이 나옵니다.

국방·정보기관을 중심으로 기존 보안 체계가 AI 기반 위협 속도를 따라가지 못한다는 위기감이 커지면서 사실상 긴급 대응에 가까운 움직임이라는 해석도 제기됩니다.

이처럼 핵심은 속도입니다. AI는 수시간 내 취약점을 분석해 공격 코드로 전환할 수 있지만, 방어는 여전히 사람 중심의 점검과 백신·방화벽 중심의 수동 패치 구조에 머물러 있습니다.

미국 사이버보안 기업 클라우드스트라이크는 AI 기반 공격이 이미 인간의 대응 속도를 앞질렀으며, 공격 주기가 30분 단위로 압축되고 있다고 경고했습니다.

반면 다수 조직의 보안 운영은 경보 확인, 취약점 분석, 패치 적용이라는 기존 절차에 머물러 있습니다. 일부 조직은 여전히 분기 또는 연 단위 패치에 의존하고 있어 구조적으로 속도 격차는 확대되고 있습니다.

여기에 취약점 공개 이후 며칠 내 실제 공격 코드가 사용되는 환경까지 겹치면서 기존 패치 중심 방어는 점점 실효성을 잃고 있습니다. 대응보다 공격이 빠른 구조가 고착되는 셈입니다.

이 때문에 보안의 방향도 변화하고 있습니다. 개별 취약점을 각각 막는 방식에서 벗어나 여러 취약점이 연결돼 만들어지는 공격 경로 자체를 분석하고 차단하는 구조로 이동하고 있습니다. 우리나라가 도입한 국가망보안체계(N2SF) 역시 일괄 차단 중심에서 위험 수준에 따라 통제 강도를 달리하는 ‘위험 기반 보안’으로 전환한 사례입니다.

핵심은 속도입니다. 공격은 이미 AI 속도로 움직이고 있지만 방어는 여전히 사람의 시간에 맞춰 설계돼 있습니다. 이를 따라잡기 위해서는 실시간에 가까운 패치 체계, 클라우드 기반 즉시 배포 구조, 선제 대응 중심의 보안 운영 전환이 필요합니다. 일각에서는 AI 시대 보안 대응을 위해 국가정보원 중심 체계만으로는 한계가 있다며 사이버안전청과 같은 전담 대응 조직 신설 필요성도 제기하고 있습니다.

앞으로 우리가 신경 써야 할 일은 “얼마나 잘 막는가” 보다는, “얼마나 빨리 대응하는가”로 바뀌어야 할 지도 모릅니다.

미토스가 던진 경고는 보안을 바라보는 기준이 ‘정확도’가 아니라 ‘속도’로 이동했음을 보여줍니다.