MS, 앤트로픽 ‘미토스’ 도입···보안 개발 수명주기에 생성형 AI 적용 - cio.com

이번 움직임은 강력한 AI 모델이 실제 소프트웨어 보안 업무에 본격적으로 침투하고 있음을 보여주는 신호라 할 수 있다. 마이크로소프트(MS)는 앤트로픽의 AI 모델 ‘미토스(Mythos)’를 자사 보안 개발 수명주기(Security Development Lifecycle)에 통합할 계획이다. 이는 주요 소프트웨어 기업들이 취약점을 식별하고 코드 보안을 강화하는 과정에서, 고도화된 생성형 AI가 직접적인 역할을 수행하기 시작했음을 시사한다. MS는 미토스 프리뷰(Mythos Preview)를 포함한 다양한 첨단 모델을 활용해, 소프트웨어 개발 초기 단계부터 안전한 코딩과 취약점 탐지 역량을 강화하겠다고 밝혔다. 이번 발표는 앤트로픽의 미토스가 소프트웨어 취약점 발견과 실제 공격 악용 사이의 시간을 크게 단축시킬 수 있다는 우려가 커지는 가운데 나왔다. 업계 분석가들은 미토스가 주요 운영체제와 브라우저 전반에서 수천 건의 심각한 취약점을 찾아낼 수 있는 능력을 갖췄다며, AI 기반 취약점 연구에서 의미 있는 도약이라고 평가하고 있다. 오픈AI도 이 분야에 진입했다. 자사 대표 모델을 기반으로 방어형 사이버보안 업무에 특화한 ‘GPT-5.4-사이버(GPT-5.4-Cyber)’를 선보였다. 사이버보안과 리스크 관리 기술 업체 컨피디스(Confidis)의 창립자 겸 CEO 키스 프라부는 향후 오픈AI가 ‘스퍼드(Spud)’로 지칭되는 차세대 모델을 내놓을 경우, 더욱 강력한 경쟁자로 부상할 수 있다고 전망했다. 이번 조치는 MS 내부 엔지니어링 조직을 넘어서는 의미를 갖는다. 기업 보안 책임자들에게는 최첨단 AI 모델이 실험 단계를 넘어 핵심 사이버보안 워크플로우로 이동하고 있음을 보여주는 명확한 신호다. 이는 소프트웨어 기업의 제품 개발 방식은 물론, 동일한 AI 도구를 공격자 역시 활용할 수 있다는 점에서 보안 담당자들의 위험 인식과 대응 전략에도 변화를 가져올 것으로 보인다. “이번 변화는 보안 소프트웨어 개발 수명주기에서 중요한 전환점이다. 과거 도구는 정적 코드 스캔을 통해 취약점을 탐지하는 수준에 그쳤지만, AI를 활용하면 실시간으로 학습하는 동적 모델을 통해 동적 취약점 분석은 물론 침투 테스트까지 수행할 수 있다”라고 컨피디스의 창립자 겸 CEO 키스 프라부는 설명했다. 프라부는 시간이 지날수록 AI 기반 보안 도구 도입에 대한 압력이 대형 소프트웨어 기업을 넘어 전반적인 시장으로 확산될 가능성이 높다고 덧붙였다. MS 결정의 의미 컨설팅 기업 카운터포인트리서치(Counterpoint Research)의 리서치 부사장 닐 샤는 포춘 500대 기업의 95% 이상이 어떤 형태로든 마이크로소프트 애저(Microsoft Azure)를 사용하고 있으며, 애저 AI와 코파일럿 제품군 역시 약 65% 기업에 깊이 자리 잡고 있다고 밝혔다. 또한 수백만 개 기업이 MS의 다양한 제품과 클라우드 서비스를 활용하고 있다고 덧붙였다. “MS의 보안 개발 수명주기에 미소스를 도입하면 윈도우, 애저, 마이크로소프트 365, 개발자 도구 등 주요 제품의 보안을 한층 강화할 수 있다. 해당 제품을 사용하는 모든 기업은 미소스에 직접 접근하지 않더라도 보안 개선 효과를 누릴 수 있다”라고 카운터포인트리서치의 리서치 부사장 닐 샤는 설명했다. 컨피디스의 프라부는 MS가 실제 환경 기반 탐지 엔지니어링 작업을 평가하기 위해 자사의 오픈소스 벤치마크를 활용해 미소스를 검증했으며, 그 결과 기존 모델 대비 상당한 성능 향상이 확인됐다고 언급한 점에 주목했다. 그는 “MS가 이러한 주장을 내놓았다는 것은 최신 AI 모델이 이전 세대보다 실제 악용 가능한 취약점을 식별하는 능력에서 의미 있는 개선을 이뤘음을 시사한다”라며 “다만 모든 AI 도구와 마찬가지로, 과거 학습을 기반으로 코드를 빠르게 분석하는 데 강점이 있는 만큼 인간 전문가만이 식별할 수 있는 새로운 유형의 취약점을 놓칠 가능성도 존재한다”라고 분석했다. 이어 “AI와 인간 전문가의 협업 구조가 여전히 중요하다”라고 조언했다. [email protected]