위험해서 숨겼는데…클로드 미토스 ‘무단 접속’ 보안 비상

[디지털투데이 AI리포터] 앤트로픽(Anthropic)이 일부 조직에만 제한 공개해 온 인공지능(AI) 모델 '클로드 미토스 프리뷰'에 무단 접근이 이뤄진 정황이 확인됐다.

22일(현지시간) 온라인 매체 기가진에 따르면, 이 모델은 사이버 공격 수행 능력이 매우 높아 일반 공개가 보류된 상태다. 해당 모델은 지난 4월 7일 공개됐으며, 취약점 탐지와 악용에 특화돼 있다. 내부 테스트에서는 오픈BSD와 리눅스의 취약점을 자율적으로 찾아내고, 이를 기반으로 공격용 익스플로잇까지 생성하는 능력이 확인됐다. 영국 AI 시큐리티 인스티튜트 역시 자율적 공격 수행 가능성을 인정했다.

앤트로픽은 이러한 위험성을 고려해 모델을 일반에 공개하지 않고, 방어 역량 강화가 필요한 일부 조직에만 제한적으로 접근권을 부여해 왔다. 그러나 일부 사용자가 이를 부정하게 확보한 것으로 전해졌다. 제보자는 스크린샷과 라이브 데모를 통해 접근 사실을 입증했고, 무단 사용자들은 비공개 디스코드 서버에서 미공개 AI 모델 정보를 공유하며 활동한 것으로 알려졌다.

접근 과정에는 복수의 방법이 동원됐다. 일부는 하청업체 근무 당시 부여받은 권한을 악용했고, 일부는 공개 정보 분석 도구를 활용했다. 이는 공급망 보안과 외부 협력사 관리의 취약점을 동시에 드러낸 사례로 평가된다.

앤트로픽은 현재 조사에 착수했으며, 외부 협력사 환경을 통한 접근 가능성에 무게를 두고 있다. 회사는 "서드파티 벤더 환경을 통한 무단 접근 보고를 조사 중"이라고 밝혔다.

이 모델은 공격 도구로서의 위험성 때문에 오픈소스 생태계에도 영향을 미치고 있다. 일부 프로젝트는 AI 기반 공격 가능성을 우려해 코드를 비공개로 전환했다. 반면 방어 측면 활용도 확인됐다. 모질라는 해당 모델을 활용해 파이어폭스에서 발견된 취약점 271건을 수정했다고 밝혔다. 동일한 기술이 공격과 방어 모두에 활용될 수 있는 이중적 성격을 드러낸 셈이다.