미국 정부가 앤스로픽의 프론티어 AI 모델을 수출 통제 대상으로 지정하면서 ‘보안 주권’ 논의가 커지고 있다. AI가 취약점을 찾아내고 공격 코드까지 작성할 수 있는 시대에 AI 격차가 단순 기술 격차를 넘어 보안 주권 격차로 번질 수 있다는 우려가 나온다. 전문가들은 ‘보안 특화’ 모델을 빠르게 개발해야 한다고 지적한다.
15일 정보기술(IT) 업계에 따르면 미국 정부는 최근 앤스로픽의 ‘미토스 5’와 ‘페이블 5’를 수출 통제 대상으로 지정했다. 미국 정부는 해당 모델의 미국 거주 외국 국적자의 접근까지 전면 금지했다. 앤스로픽은 선별 차단이 어렵다고 보고 두 모델의 전세계 접근을 중단했다. 사실상 고성능 AI 모델 접근권이 국가안보 차원에서 통제된 첫 사례로 평가된다.
한국도 직접 영향권에 들었다. 앤스로픽이 2일 ‘프로젝트 글라스윙’ 참여 대상을 15개국, 약 150개 신규 기관으로 확대하면서 한국 정부를 비롯해 삼성전자, SK하이닉스, SK텔레콤 등이 미토스 접근권을 확보한 바 있다. 하지만 2주 만에 미토스 접근권이 막히면서 한국의 보안 대응에도 빨간불이 켜졌다.
미국 정부의 미토스 접근권 제한은 AI가 생산성 향상 도구를 넘어 국가 안보와 직결되는 전략자산이 됐다는 것을 드러낸다. 특히 미토스 뿐만 아니라 일반 사용자를 대상으로 한 페이블 5까지 수출 통제 대상이 되면서 향후 접근권 제한이 다른 모델 혹은 다른 기업으로 확대될 수 있다는 우려도 제기된다. 취약점 탐지 AI는 해킹 방어 도구이면서도 공격자에게 제로데이 탐색과 공격 자동화 수단으로 악용될 수 있다.
한국 정부는 오픈AI의 정부·기관용 사이버 보안 프로그램(GTAC)에 참여해 최신 AI 모델을 활용한 보안 연구를 추진하고 있다. 다만 이번 미국 정부의 AI 수출 통제 사례를 비춰볼 때 해외 빅테크의 AI 보안 기술에 기대는 전략이 한계가 있다는 지적도 나온다. 빅테크의 AI 의존도를 낮추고 독자적인 AI 보안 역량을 갖춰야 한다는 것이다.
전문가들은 독자적인 보안 특화 AI 역량을 키워야 한다고 강조한다. 최병호 고려대 휴먼인스파이어드 AI 연구원 연구교수는 “미토스는 범용 모델임에도 보안 취약점을 잘 찾는 프런티어 AI 모델이라면 우리나라는 모든 자원을 총결집해 GPT-5.5 사이버 같은 보안 특화 모델을 만들어야 한다”며 “하나의 특별한 모델을 만들기보다는 수십 개의 모델을 활용해 보안 취약점을 빠르게 찾고 패치하는 것이 당면한 과제”라고 지적했다.
김동환 포티투마루 대표도 “미토스뿐만 아니라 일반인을 대상으로 한 페이블 5까지 수출 통제로 막았다”며 “이에 ‘소버린 AI’가 급부상하고 있지만 프론티어 AI에만 집중하기보다는 ‘보안 특화 파운데이션 모델’이나 ‘제조 특화 파운데이션 모델’ 등 도메인 특화 모델을 빠르게 개발해야 한다”고 말했다.
최근 유럽연합(EU) 집행위원회는 반도체, AI, 클라우드 컴퓨팅 분야에서 미국이나 아시아에 대한 의존도를 줄이고 자체 기술 생태계를 구축하기 위한 포괄적 계획을 발표했다. 5∼7년 안에 유럽 내 데이터 센터 수용 능력을 현재의 3배 수준으로 늘리는 걸 목표로 하는 ‘클라우드 및 AI 개발법(CADA)’이 핵심이다. 각국 정부는 중요 데이터를 EU 소유의 클라우드 서비스에 저장해야 하며 클라우드 제공업체에 대해 ‘주권 위험 평가’를 의무적으로 실시해야 한다. 계획에는 유럽의 반도체 생산 점유율 증대를 목표로 하는 ‘칩스법 2.0’도 포함됐다.
국제적으로도 ‘기술 주권’ 확립 기조가 강화되는 가운데 한국이 중장기적으로 ‘국제 공조’를 강화해야 한다는 지적이 나온다. 최병호 교수는 “기존 미·중 중심의 AI 구도에서 한국 중심으로 ‘글로벌 AI 허브’가 추진되는 등 주도권을 가져가는 모양새”라며 “풀스택을 갖추면서도 접근 가능한 AI 모델을 가지고 있는 나라는 거의 없다”고 설명했다.
이어 최 교수는 “사이버 보안 능력을 키우기 위해서 당장은 특화 모델 개발에 주력하고 중장기적으로 국제 공조가 필요하다”며 “아직 미국의 통제를 받지 않는 챗GPT나 제미나이 같은 AI 모델, 오픈소스 모델 등을 활용해 보안 취약점을 빠르게 찾아야 한다”고 말했다.
