[주간보안동향] 27년 전 취약점 발견한 AI…보안 업계 파장 일으킨 ‘미토스’ 外

IT동아 · 2026.04.15 16:53:18

[IT동아 김예지 기자] 사이버 위협이 일상이 된 시대, 보안은 더 이상 특정 기업만의 문제가 아니라 개인과 사회 전체의 리스크로 확산되고 있습니다. 한 주간 국내외에서 발생한 주요 보안 이슈와 정부 정책, 기업 소식을 살펴봅니다.

27년 전 취약점 발견한 AI…보안 업계 파장 일으킨 ‘미토스’

사이버 보안 평가 지표 / 출처=앤트로픽

보안 취약점을 스스로 탐지하고 공격 코드까지 생성하는 AI가 등장했다. 바로 앤트로픽(Anthropic)이 지난 7일 공개한 AI 모델 ‘미토스(Mythos)’다. 미토스는 기존 최상위 모델 ‘클로드 오퍼스’의 성능을 뛰어넘는 범용 모델로, 복잡한 소프트웨어 구조를 사람 전문가 수준으로 추론해 보안 취약점을 찾아낸다고 알려졌다.

앤트로픽은 “소프트웨어의 보안 취약점을 탐지하는 능력이 뛰어나 해킹 등에 악용될 수 있다”고 설명했다. 이른바 ‘미토스 쇼크’라 불리는 까닭이다. 앤트로픽은 해커나 범죄 집단이 미토스를 악용하지 못하도록 일부 기업에 제한적으로 접근 권한을 부여했다. 구글, 애플, 아마존, 브로드컴, 시스코, 마이크로소프트, 엔비디아, JP모건체이스, 팔로알토 네트웍스 등 AI 모델의 기능을 방어 목적으로 활용하기 위해 시작된 ‘프로젝트 글래스윙’의 참여사들은 미토스 프리뷰를 제공받아 사이버 공격을 막아내는 데 활용할 예정이다.

미토스는 보안 측정 지표인 ‘사이버짐(CyberGym)’ 평가에서 83.1%를 기록했다. 오퍼스 4.6가 기록했던 66.6%를 앞지른 수치다. 보안이 강화된 운영체제 ‘OpenBSD’에서 27년간 발견되지 않았던 취약점을 발견했다. 영상 소프트웨어 ‘FFmpeg’에서 16년 동안 숨어있던 취약점도 발견했는데, 그간 자동화 도구로 500만 회 이상 검사를 실행하고도 놓쳤던 결함이었다.

특히 미토스는 취약점을 찾는 데 그치지 않고, 여러 취약점을 연결해 복잡한 시스템을 무력화하는 공격 코드(익스플로잇)를 스스로 생성한다는 점에서 기존 사이버 보안 솔루션을 대체할 것이란 우려가 확산됐다. 미 재무부와 연준이 월가 은행 CEO들을 소집해 대응책 마련에 나선 이유다.

한편, 외신에 따르면 오픈AI도 14일 방어적 사이버 보안에 특화된 ‘GPT-5.4-Cyber’를 공개했다. 오픈AI는 이를 앤트로픽과 같이 검증된 보안업체와 기관, 연구자들에게 제한적으로 공급할 계획이라 밝혔다.

공식 앱 마켓 속 ‘위장 앱’ 주의보

구글 플레이 스토어에서 유포 중인 과대 광고 앱 / 출처=안랩

최근 교묘하게 설계된 악성 앱이 기승을 부리고 있다. 안랩은 지난 9일 공식 앱스토어에서 공식 기관을 사칭하거나 도구로 위장해 광고를 무분별하게 노출하는 ‘위장 앱’을 다수 발견하고 주의를 당부했다.

해당 앱들은 계산기, 손전등, 메모장, 배터리 최적화 등 일상적인 유틸리티 앱의 아이콘과 이름을 도용해 설치를 유도한다. 이들은 공식 기관이 배포한 것이 아니며, 개발자는 ‘단순 정보 제공 목적’으로 등록돼 있다. 안랩은 “2024년 ‘K-PASS’로 위장한 사례에서도 확인됐으며, 2025년에도 동일한 형태의 앱이 추가 발견됐다”고 말했다.

이러한 앱을 실행하면 화면이 전환될 때마다 광고가 뜨고, 일정 시간이 지나야만 닫힌다. 그러나 현재 명백한 악성 행위가 드러나지 않는다는 이유로 여전히 유지되고 있다. 사용자는 구조상 언제든 악성코드를 유포하는 통로로 변질될 수 있어 주의해야 한다. 설치 전 개발자 정보와 설명, 후기를 꼼꼼히 확인하고, 불분명한 경로의 앱은 다운로드하지 않는다. 유사 행위가 반복되는 앱은 지속 모니터링하고, 의심스럽다면 신고하도록 한다.

불법 스팸 뿌리 뽑는다…전송자격인증제 시행

전송자격인증 절차 / 출처=방송미디어통신위원회

방송미디어통신위원회(이하 방미통위)가 지난 10일 전체회의에서 ‘전송자격인증제’ 시행 방안을 마련했다. 전송자격인증제는 대량문자 전송서비스를 제공하려는 사업자가 5개 분야, 16개 항목의 인증 기준을 충족해야만 사업을 할 수 있도록 하는 제도다. 5개 분야는 서류 적정성, 이용자관리 적정성 등이며, 16개 항목에는 이용약관, 부정사용 차단, 금칙어 차단체계 등이 포함된다.

마약·도박·불법투자 유도·불법대출 등 불법행위를 위한 스팸을 발송하면 인증이 즉시 취소되고, 특수한 유형의 부가통신사업자 등록도 함께 취소된다. 전송자격인증을 받지 않은 사업자는 특수한 유형의 부가통신사업자로 등록 자체가 불가능하기 때문에 무자격 업체의 난립을 억제하는 효과도 기대된다. 또한 인증을 받은 사업자도 연 1회 기준 유지 여부 점검을 받으며, 기준 미충족 시 경고 또는 인증취소 처분을 받을 수 있다.

한편, 방미통위는 지난 3월 불법스팸 전송자와 방지 의무를 소홀히 한 사업자에게 관련 매출액의 6% 이하 과징금을 부과하고, 악성스팸 전송자의 부당이익을 몰수·추징하는 내용의 정보통신망법 개정안이 국무회의를 통과시켰다. 기존에는 3000만 원 이하의 과태료 부과에 그쳐 실질적인 제재 효과가 미흡하다는 지적이 꾸준히 제기돼 왔다. 개정안은 공포일로부터 6개월 후 시행 예정이다.

SKT, 1348억 과징금 취소 소송, 9월 첫 재판

SKT는 지난해 4월 악성코드로 인한 유심해킹 사고로 대규모 고객 정보 유출 사태를 빚었다 / 출처=IT동아

유심정보 유출 사고로 1300억 원대 과징금을 부과받은 SKT가 개인정보보호위원회를 상대로 제기한 과징금 처분 취소 소송 재판이 오는 9월 본격 재판 절차에 돌입한다.

앞서 지난해 4월 SKT에서는 가입자 약 2700만 명의 유심정보가 유출되는 대규모 해킹 사고가 발생했다. 개인정보위는 안전조치 의무 위반과 유출 통지 지연을 이유로 위원회 출범 이후 역대 최대 규모인 1347억 9100만 원의 과징금과 과태료 960만 원을 부과했다. 당시 개보위는 “국내 1위 이동통신사로서 막중한 사회적 책임이 있음에도 불구하고 기본적인 보안 관리에 실패했다”고 지적했다.

SKT는 올해 1월 19일, 취소 소송 제기 기한 만료 직전에 서울행정법원에 소송을 냈다. SKT는 해킹 사고 이후 보상안과 정보보호 혁신안에 총 1조 2000억 원을 투입한 점, 유출로 인한 실제 금융 피해가 없었던 점을 고려해달라는 입장을 내세웠다.

글로벌 IT 기업에 위장 취업한 북한 인력 적발

취업 지원서에 사용된 북한 IT 근로자 활동과 관련된 합성 신원 정보 중 한 장의 사진 / 출처=그룹아이비

사이버 보안 기업 그룹아이비(Group-IB)가 13일 최근 북한 IT 인력이 가짜 신분과 AI 기술을 결합해 글로벌 IT 기업에 원격 근로자로 위장 취업하는 캠페인을 적발했다고 발표했다. 연구에 따르면, 이들은 실존하지 않는 가짜 신원(합성 신원)을 만들고, 생성형 AI로 입사지원서를 작성해 기업의 채용 프로세스를 통과한다. 이후 기존 보안 통제망을 우회하고 기업 내부에 합법적으로 접근하는 진화된 수법을 활용한다.

특히 깃허브, 프리랜서 마켓플레이스, 포트폴리오 사이트 등 다양한 플랫폼에 가짜 개발자 페르소나 생태계를 조직적으로 구축한 것으로 드러났다. 이는 최소 2021년부터 2026년 3월까지 지속된 것으로 확인됐다. 또한 프리랜서 플랫폼에서 인증된 계정을 확보해 일자리를 구하거나, 이력만 수정한 개발자 페르소나를 재활용하는 방식도 포착됐다.

그룹아이비는 위조 문서, 입사 지원서 템플릿, AI 생성 답변, 계정 접속 정보가 패키지로 묶인 ‘합성 신원 패키지 저장소’를 발견했다고 밝혔다. 이러한 공격으로 인한 피해는 단순한 보안 문제에 그치지 않는다. 북한 연계 인력을 모르고 고용한 기업은 국제 제재 체계 위반을 포함해 법적 책임까지 질 수 있다. 현재 이들은 미국, 유럽, 아시아태평양 등 세계 기업을 표적으로 삼고 있다. 그룹아이비는 자사의 위협 인텔리전스 프레임워크를 통해 해당 활동을 지속 추적 중이라고 밝혔다.

IT동아 김예지 기자 (yj@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)

번호	제목	글쓴이	작성일	조회	추천
설문	치어리딩 가장 잘할 것 같은 스타는?	운영자	26/05/11	-	-
7068	[르포] 크리에이터와 팬, AI가 만난 축제의 장 ‘유튜브 팬페스트 코리아 2026’	IT동아	19:35	9	0
7067	“’AI 전환’ 생각은 크게, 시작은 작게”…베스핀글로벌 CAIO가 말하는 AX 전략	IT동아	17:16	8	0
7066	[크립토퀵서치] 트래블룰 강화, 업계가 반발하는 이유는?	IT동아	16:49	11	0
7065	AI 데이터 센터 지출 1천 조 시대 ··· 사회는 AI보다 '공존의 기술'이 필요하다	IT동아	15:57	144	0
7064	소풍커넥트 “창업 대중화 시대, 혁신을 연결하는 이노베이션 빌더”	IT동아	15:12	14	0
7063	[스타트업-ing] “AI가 웹사이트 생성부터 운영까지” 넥스트 피그마 꿈꾸는 위븐 ‘재밋(Zaemit)’	IT동아	14:31	15	0
7062	허희영 한국항공대학교 총장 “인공지능으로 업무 혁신·방산 인재 육성 선도”	IT동아	11:24	19	0
7061	"20년 단일 아키텍처" 워크데이, 사나 앞세워 한국 엔터프라이즈 AI 시장 공략	IT동아	05.14	19	0
7060	“피지컬 AIㆍ자율주행차ㆍ차세대 에너지 앞에 헤쳐모여” 모노리스 품은 대성파인텍, DSM으로 새도약	IT동아	05.14	21	0
7059	친환경을 특별한 선택 아닌 일상으로…종이팩으로 패키징 구조 바꾼 ‘노트랙’	IT동아	05.14	37	0
7058	협업툴 묶고 AI 품다… '넥스트 그룹웨어'의 조건	IT동아	05.14	23	0
7057	구글, '제미나이 인텔리전스' 앞세워 플랫폼·소프트웨어·하드웨어 통합한다	IT동아	05.14	1186	1
7056	바이낸스 “비트코인 ETF·규제 명확성이 기관 유입 가속”	IT동아	05.14	36	0
7055	손 안에 세계를 담는 짐벌 카메라 ‘DJI 오즈모 포켓 4’	IT동아	05.14	25	0
7054	[시승기] “손 떼도 스스로 달리고 차선까지 변경”…‘캐딜락 에스컬레이드’의 진화	IT동아	05.13	36	0
7053	‘GPS만 35년’ 가민, 아웃도어·스포츠에 강한 이유	IT동아	05.13	71	0
7052	디지털자산 과세 “고액 이용자 중심 제한적 과세 방안이 효율적”	IT동아	05.13	44	0
7051	[주간보안동향] 숨고, 개인정보 유출 의심 정황 공지…선제적 대응 착수 外	IT동아	05.13	1256	3
7050	[주간스타트업동향] 네오덱스, 대만 국립치과병원과 1인 치과 진료 시스템 '히포디' MOU 체결 外	IT동아	05.13	28	0
7049	[AI써봄] 크롬 업데이트로 추가된 'Gemini에게 물어보기'는 쓸만할까?	IT동아	05.13	58	0
7048	[위클리AI] 오라클-삼성전자, 앤트로픽-스페이스X 각각 손잡았다 '파트너십 확장'	IT동아	05.12	119	0
7047	[뉴스줌인] 로봇청소기 시장, ‘직배수’ 넘어 ‘빌트인’으로… 드리미도 공식 참전 [1]	IT동아	05.12	510	0
7046	이학준 마드라스체크 대표 “AI 시대에도 협업 도구 플로우는 쉬움의 미학 담을 것”	IT동아	05.12	32	0
7045	IPO 재도전하는 세레브라스, 단 6개월 만에 다시 도전하는 배경은?	IT동아	05.12	108	0
7044	고민정 멀티캠퍼스 AX러닝혁신센터장, "AI 교육은 진단과 처방이 우선입니다"	IT동아	05.12	123	0
7043	“더 가볍고 빠르게” 노타·모빌린트, NPU 최적화 및 AI 사업 협력에 맞손	IT동아	05.12	479	1
7042	[투자를IT다] 2026년 5월 1주차 IT기업 주요 소식과 시장 전망	IT동아	05.11	39	0
7041	[신차공개] GMC ‘허머 EV SUV’·포르쉐 ‘마칸 GTS 일렉트릭’ 출시	IT동아	05.11	44	0
7040	[정석희의 기후 에너지 인사이트] 10. 햇빛은 공짜, 그물은 누가 만드는가? [1]	IT동아	05.11	579	0
7039	‘우주 비전’ 품은 LIG D&A, 스타트업 '스텔라비전'과 손잡은 이유?	IT동아	05.11	49	0
7038	[주간투자동향] 찬스, 47억 원 규모 투자 유치 外	IT동아	05.11	45	0
7037	“첨단전략산업 육성 목적” 국민참여형 국민성장펀드 조성, 다른 펀드와 다른 점은?	IT동아	05.08	124	0
7036	“맛집 예약부터 쇼핑 결제까지”…네이버 대화형 검색 AI탭 써보니	IT동아	05.08	67	0
7035	[스타트업리뷰] "스리라차보다 낮은 열량" 스퀴진, K-김 불편함까지 튜브로 풀었다 [6]	IT동아	05.08	703	0
7034	[르포] 지커, 강남 대치동에 브랜드 갤러리 오픈…최신 라인업 선보이며 존재감 확대 [9]	IT동아	05.08	939	2
7033	어르신에게 듣는 즐거움을, 제이디솔루션 청력보조 스피커 하룬제 기증 현장 가 보니	IT동아	05.08	52	0
7032	디지털자산 과세 앞두고 팽팽한 공방 ‘준비 안 됐다’ vs ‘예정대로 진행’	IT동아	05.08	51	0
7031	한국항공대 “방산 SW 인재, 총장배 2026 AI 파일럿 탑건 챌린지 도전하라”	IT동아	05.08	59	0
7030	“교통비 환급 더 많이” K-패스 '반값 모두의 카드', 지금 주목해야 하는 이유	IT동아	05.08	76	0
7029	[자동차와 法] 어린이 보호구역 교통사고를 둘러싼 오해와 현실, 책임의 경계	IT동아	05.08	301	0
7028	“플랫폼ㆍ하드웨어ㆍ소프트웨어 등 국내 AI 산업의 모든 것이 한 자리에” 2026 국제인공지능대전(AI EXPO)	IT동아	05.07	60	0
7027	서울창경 “창업기업 등용문, 올해의 K-스타트업 2026 혁신·AI 리그로”	IT동아	05.07	66	0
7026	OTT 구독 결합 전쟁, 나에게 맞는 조합은?	IT동아	05.07	97	0
7025	[스타트업-ing] 퓨잇, 한국수자원공사 손잡고 지역 플랫폼 '로컬바이브' 구축	IT동아	05.07	67	1
7024	나이트로 서울 2026 게임데이 'AI가 공동 창업자, ‘어떻게’ 보다 ‘무엇을’이 더 중요’ [1]	IT동아	05.07	355	0
7023	기업공개 앞둔 마키나락스, 버티컬 AI 분야 글로벌 선도기업 도약 나선다	IT동아	05.06	208	0
7022	[주간보안동향] 쿠팡·네이버 등 7개 오픈마켓, 개인정보 불공정 약관 시정 外	IT동아	05.06	49	0
7021	[위클리AI] 아마존·오픈AI·메타, 검색부터 로봇까지 서비스 고도화 박차	IT동아	05.06	114	0
7020	[신차공개] 현대차 ‘더 뉴 그랜저’ 디자인 공개·볼보 ‘XC90 블랙 에디션’ 한정 판매 [6]	IT동아	05.06	1840	0
7019	[주간스타트업동향] 디노티시아, 소버린 AI 법령 에이전트 '리걸큐' 베타 공개 外	IT동아	05.06	55	0

최근 방문

즐겨찾기

즐겨찾기 갤러리

이미지 올리기 이용안내

갤러리 이슈박스, 최근방문 갤러리

연관 갤러리

개념글 리스트

차단하기

[IT동아 갤러리]

갤러리 본문 영역

27년 전 취약점 발견한 AI…보안 업계 파장 일으킨 ‘미토스’

공식 앱 마켓 속 ‘위장 앱’ 주의보

불법 스팸 뿌리 뽑는다…전송자격인증제 시행

SKT, 1348억 과징금 취소 소송, 9월 첫 재판

글로벌 IT 기업에 위장 취업한 북한 인력 적발

▶ [주간보안동향] 클로드 코드 51만 줄 소스코드 유출 外▶ 오픈AI과 앤스로픽의 엇갈린 10년··· '윤리'가 가른 AI 패권의 향방▶ 수익화 2.0 시대 여는 글로벌 AI 플랫폼, 전략 비교해보니

추천 비추천

댓글 영역

하단 갤러리 리스트 영역

왼쪽 컨텐츠 영역

갤러리 리스트 영역

페이지 이동

오른쪽 컨텐츠 영역

알림 설정

알림

디시콘 리스트

대왕디시콘 사용중

대왕디시콘

즐겨찾기 추가 안내

즐겨찾기 추가 안내

색상 설정

즐겨찾기 편집

폴더명

즐겨찾기 편집

디시콘

▶ [주간보안동향] 클로드 코드 51만 줄 소스코드 유출 外 ▶ 오픈AI과 앤스로픽의 엇갈린 10년··· '윤리'가 가른 AI 패권의 향방 ▶ 수익화 2.0 시대 여는 글로벌 AI 플랫폼, 전략 비교해보니