앤스로픽 미토스: 유럽이 ‘통제된 접근’을 원하는 이유

다만 중요한 선은 분명하다. 현재 보도만으로는 EU가 최종 결정을 내렸거나, 완성된 접근 절차를 공개했다고 볼 수 없다. 확인되는 것은 앤스로픽과의 대화, 기술 브리핑, 규제 차원의 모니터링, 그리고 일부 유럽 금융당국자의 정치적 압박이다 .

은행 입장에서 왜 중요한가

미토스는 보도에서 컴퓨터 코드의 취약점을 식별하는 모델로 설명된다 . 은행에는 방어용 도구로서 매력이 있다. 자체 시스템을 점검하고, 위험도가 큰 취약점을 우선순위에 올리며, 공격자가 악용하기 전에 보안 구멍을 메우는 데 도움을 줄 수 있기 때문이다.

독일 경제지 한델스블라트는 내부 소식통을 인용해 앤스로픽이 조만간 유럽 은행들에 접근권을 제공하려 한다고 보도했다. 목적은 은행들이 자사 컴퓨터 시스템의 잠재 취약점을 테스트하고 보안 허점을 닫을 수 있게 하는 것이다 . 다만 그 시점에 대해서는 소식통들 사이에서도 ‘며칠 안’부터 ‘몇 주 안’까지 차이가 있었다 .

또 하나의 이유는 정보 격차다. 로이터에 따르면 미토스는 지금까지 일부 미국 은행에만 제공된 것으로 보도됐다 . 더넥스트웹은 EU 회원국 정부 가운데 이 모델에 접근한 곳이 없다고 전했다 . 유럽 감독당국이 보안상 중요한 AI 시스템을 브리핑과 언론 보도, 제한적 대화만으로 평가해야 한다면, 통제된 테스트를 요구하는 흐름은 자연스럽다.

같은 능력이 왜 위험이 되나

감독당국이 우려하는 지점은 ‘이중용도’다. 로이터에 따르면 사이버보안 전문가들은 미토스가 은행 IT 시스템에 대한 공격을 가속할 잠재적 도구가 될 수 있다고 본다 . 나겔 총재는 미토스가 금융기관 소프트웨어의 보안 취약점을 빠르게 식별하고 악용할 수 있는 모델로 보인다며, 동시에 디지털 방어를 개선할 수도 있고 오용될 수도 있는 ‘양날의 검’이라고 설명했다 .

독일 보안 당국도 예의주시하고 있다. 독일 연방정보보안청(BSI)은 ZDF 보도를 통해, 숨겨진 소프트웨어 취약점을 찾아내는 모델이 사이버 위협 환경에 중대한 영향을 줄 수 있다고 밝혔다 . 독일 금융감독청 바핀(BaFin)도 한델스블라트 보도에 따르면 미토스와 유사한 AI 모델의 위험을 집중적으로 들여다보고 있다. 이런 시스템이 보안 취약점을 독자적으로, 대규모로 찾아낼 수 있기 때문이다 .

더넥스트웹은 미토스가 주요 운영체제와 브라우저의 제로데이 취약점까지 찾아낼 수 있다고 보도했다 . 여기서 제로데이는 개발사나 이용자가 아직 공식 패치를 갖추기 전의 취약점을 뜻한다. 다만 이 대목은 어디까지나 보도 내용으로 읽어야 한다. 공개적으로 확인되는 핵심 사실은 EU 집행위원회가 앤스로픽으로부터 기술 정보를 받았고, 그 함의를 검토하고 있다는 점이다 .

EU AI법 논의와도 맞물린다

미토스 논란은 사이버보안 문제이면서 동시에 유럽의 AI 감독 문제다. 블룸버그에 따르면 EU 집행위원회의 AI 오피스는 EU AI법(AI Act) 체계에서 범용 AI 시스템을 위한 행동강령 이행과 관련해 앤스로픽과 대화하고 있다 . Investing.com도 EU 집행위원회 대변인을 인용해, 앤스로픽이 범용 AI 시스템에 관한 EU 행동강령을 준수하겠다고 약속했다고 보도했다 .

따라서 미토스는 “은행이 새 보안 도구를 받을 수 있느냐”의 문제에 그치지 않는다. 유럽은 강력한 사이버 역량을 가진 범용 AI 시스템을 어떻게 평가하고, 어디까지 제한하며, 어떤 조건에서 통제해 사용할 수 있을지를 묻고 있다 .

남는 질문: 접근은 필요하다면, 어떤 조건으로?

이 논쟁은 단순한 찬반 문제가 아니다. 접근이 너무 제한되면 유럽 은행과 감독당국은 잠재적으로 중요한 사이버 도구를 멀리서만 판단해야 한다. 반대로 접근이 너무 넓거나 잘못 배분되면, 감독당국이 우려하는 바로 그 능력이 더 많은 곳으로 퍼질 수 있다 .

가능한 방식은 여러 가지다. 일부 금융기관에 한정한 직접 테스트, 앤스로픽이 대신 수행하는 점검, 감독당국이 참여하는 공동 절차, 또는 검증된 취약점 정보를 해당 은행에 전달하는 방식 등이 거론될 수 있다. 그러나 공개적으로 확정된 메커니즘은 아직 없다. 지금까지 알려진 것은 논의, 기술 검토, 그리고 접근 경로가 아직 열려 있다는 점이다 .

결론

유럽이 앤스로픽의 미토스에 대해 요구하는 것은 무제한 공개가 아니라 통제된 검증 가능성에 가깝다. 은행에는 취약점을 더 빨리 발견할 수 있는 방패가 될 수 있지만, 감독당국에는 같은 능력이 공격을 빠르게 만들 수 있는 위험이기도 하다 . 결국 정치적 쟁점은 “접근할 것인가”보다 “누가, 어디까지, 어떤 감시 아래 접근할 것인가”다. 유럽은 눈을 가린 채 위험을 판단하고 싶지 않지만, 방어 기술이 새로운 위험원이 되는 것도 원하지 않는다.