미토스 시험 코드 다시 분석
공개 모델로도 재현 가능
6~18개월 내 공격 대중화 전망
“승부처는 모델 아닌 시스템”
티오리가 16일 발간한 ‘You Don’t Need Mythos. You Need a System‘ 백서. 티오리. 앤스로픽의 첨단 인공지능(AI) 모델 ‘미토스’가 보안업계에 던진 충격이 이어지고 있다. 이에 보안업계는 모델 자체보다 이같은 공격 능력이 대중화되기 전에 얼마나 빨리 방어 체계를 갖출 수 있느냐로 관심이 옮겨가고 있다.
29일 사이버 보안 전문기업 티오리는 이러한 흐름을 겨냥해 자사 AI 기반 코드 분석 솔루션 ‘진트 코드(Xint Code)’ 성과를 공개했다. 미토스가 테스트한 것과 같은 코드베이스에서 추가 제로데이 취약점 12건을 더 찾아냈다는 내용이다.
티오리가 공개한 백서에 따르면 진트 코드는 미토스가 시험한 것과 같은 4개 코드베이스(FreeBSD·OpenBSD·FFmpeg·Firecracker)에서 앤스로픽이 공개한 주요 취약점 4건을 재현했다. 여기에 더해 12건의 추가 취약점도 식별했다. 이 중 11건이 하이 등급,1건이 미디엄 등급이다.
실제 이번 테스트에도 비공개 특수 모델이 아닌 클로드 오퍼스 4.6과 GPT 5.4 같은 공개 상용 모델을 사용했다. 이를 통해 티오리는 공개된 상용 모델만으로도 미토스가 공개한 핵심 취약점을 재현하고 추가 취약점까지 찾아낼 수 있었다고 설명했다.
티오리는 AI 보안 경쟁의 핵심이 시스템 설계에 있다고 강조했다. 단순히 더 강한 AI 모델을 확보하는 데 있지 않다는 것이다. 백서 제목도 ‘You Don’t Need Mythos. You Need a System’이다. 미토스 같은 특수 모델보다 현장에서 바로 쓸 수 있는 체계적인 보안 시스템이 더 중요하다는 의미다.
티오리는 향후 6~18개월 안에 공격자들도 고성능 AI를 활용한 공격 역량을 손에 넣을 수 있다고 전망했다. 공개 상용 모델을 통해 미토스와 유사한 역량을 충분히 구현 가능하다는 설명이다. 이에 티오리는 방어자가 앞설 수 있는 시간이 길지 않다고 경고했다.
박세준 티오리 대표는 “AI 기술 발전으로 공격과 방어의 속도전이 시작됐다”며 “공격자에게 주도권을 내주지 않으려면 검증된 AI 보안 시스템으로 선제적으로 취약점을 관리해야 한다”고 말했다.
