제이미 다이먼 "AI, 방어보다 공격부터 강화"… JP모건·골드만도 흔든 '미토스 쇼크'

앤스로픽 신형 AI, 주요 OS·브라우저 수만 건 취약점 자율 발굴… 미 재무장관 월가 CEO 긴급 소집
"6~18개월 내 中 포함 유사 모델 전 세계 확산"… 한국 금융망도 선제 점검 시급

AI가 사이버 방어보다 공격 수단으로 먼저 진화하고 있다는 경고가 월스트리트 최고위층에서 터져 나왔다. 이미지=제미나이3

AI가 사이버 방어보다 공격 수단으로 먼저 진화하고 있다는 경고가 월스트리트 최고위층에서 터져 나왔다. 제이미 다이먼 JP모건체이스 최고경영자(CEO)는 14일(현지시각) 1분기 실적 발표 콘퍼런스콜에서 앤스로픽의 신형 AI 모델 '미토스(Mythos)' 프리뷰 테스트 결과를 직접 언급하며 "해결해야 할 취약점이 훨씬 더 많다는 사실이 드러났다"고 밝혔다고 CNBC가 보도했다.

세계 최대 시가총액 은행 수장의 이 한마디는, AI가 생산성 도구를 넘어 금융 시스템 전체를 흔들 수 있는 안보 변수로 격상됐음을 공식화한 발언이다.

AI 발(發) 금융 안보 붕괴… '미토스'가 뚫은 월가의 방패. 도표=글로벌이코노믹

"AI, 지금은 방어보다 공격이 앞선다"

다이먼은 이날 "AI가 상황을 더 나쁘게, 더 어렵게 만들고 있다"며 "추가적인 취약점을 만들어내고 있으며, 장기적으로는 방어 수단이 될 수도 있겠지만 지금 당장은 그렇지 않다"고 잘라 말했다. JP모건 최고재무책임자(CFO) 제러미 바넘도 같은 자리에서 "AI 도구는 취약점 발견을 쉽게 하지만, 나쁜 행위자들이 공격 모드로 악용할 수도 있다"고 거들었다.

앤스로픽 공식 기술 보고서에 따르면, 미토스 프리뷰는 수 주 사이에 주요 운영체제(OS)와 웹브라우저 전체를 망라해 수만 건의 고위험 취약점을 스스로 발굴했다. 27년 된 오픈BSD 결함과 17년 된 프리BSD NFS 서버 원격 코드 실행 버그를 자율 탐지한 뒤 완성형 공격 코드까지 작성했다. 보안 훈련을 받지 않은 앤스로픽 직원이 "밤새 원격 코드 실행 취약점을 찾아달라"고 지시하면, 다음 날 아침 완성된 익스플로잇 코드가 준비돼 있었다는 사례도 보고서에 담겼다.

골드만삭스 데이비드 솔로몬 CEO도 13일 실적 발표에서 미토스를 테스트 중이라고 밝혔다. 스콧 베선트 재무장관은 모델 발표 직후 월가 CEO들을 긴급 소집해 "AI의 급속한 발전이 초래하는 위험"을 논의했다. 영국 정부 AI안전연구소(AISI) 역시 미토스가 이전 모델 대비 사이버 위협 측면에서 "한 단계 격상됐다"는 공식 경고를 발표했다.

연쇄 감염 우려… "거래소·결제망까지 표적"

다이먼의 경고는 개별 은행을 훌쩍 넘는다. 그는 "은행들이 잘 지킨다고 해도, 은행이 연결된 거래소와 여타 기관들이 또 다른 리스크 층위를 만들어낸다"며 금융 생태계 전반의 연쇄 감염 가능성을 명시적으로 언급했다. JP모건은 사이버보안에 연간 수억 달러(수천억 원)를 투입하며 전담팀이 미국 정부 기관과 상시 공조하고 있지만, 이 정도 투자만으로는 충분하지 않다는 인식을 스스로 드러낸 셈이다.

다이먼은 동시에 첨단 기술 방어 못지않게 기초 수칙의 중요성도 강조했다. "비밀번호 정기 변경, 데이터와 네트워크·라우터·하드웨어 보호 같은 기본 위생 관리를 제대로 하면 리스크가 극적으로 낮아진다"는 설명이다.

앤스로픽은 미토스 프리뷰를 일반에 공개하지 않고 아마존, 애플, JP모건 등 12개 핵심 파트너사에만 제공하는 '프로젝트 글래스윙(Glasswing)'을 운영 중이다. 오픈소스 보안 단체에는 400만 달러(약 58억 원)를 직접 지원하고, 파트너사에는 최대 1억 달러(약 1473억 원) 상당의 사용 크레딧을 제공한다. 앤스로픽의 공격적 사이버 연구 책임자 로건 그레이엄은 "미국 이외 기업, 중국을 포함한 전 세계에서 유사한 능력의 모델이 6개월에서 18개월 안에 광범위하게 배포될 수 있다"고 경고했다.

다만 전문가들은 완충 요인도 존재한다고 짚는다. 미토스 수준의 취약점 발굴 능력은 공격자뿐 아니라 방어자에게도 동등하게 개방되며, 앤스로픽이 선제적으로 방어 진영에 먼저 모델을 공급하는 전략을 택한 점은 긍정적 신호다. 또한 오픈AI도 '스퍼드(Spud)'라는 내부 명칭의 유사 모델 개발을 마무리 중이며 제한적 파트너 프로그램을 통해 배포를 준비 중인 것으로 알려져, 방어 측의 AI 무장도 가속화하고 있다는 분석이 나온다.

한국 금융 당국과 주요 은행이 지금 당장 점검해야 할 지표는 세 가지다. 첫째, 앤스로픽·오픈AI 등 선도 기업의 사이버 취약점 발굴 모델 배포 일정과 국내 금융망 보안 패치 주기의 간격. 둘째, 글로벌 인프라와 연결된 국내 거래소·결제망의 외부 취약점 스캔 빈도. 셋째, 정부 AI 사이버보안 대응 체계가 '공격 능력 확산 속도'를 따라잡고 있는지 여부다.

AI가 발굴한 취약점이 패치되기 전에 공격자 손에 먼저 닿는 '창과 방패의 역전'이 현실화하고 있는 지금, 방어 진영의 선제 속도가 이번 사이버 위기의 승패를 가를 결정적 변수다.

김주원 글로벌이코노믹 기자 park@g-enews.com