앤스로픽의 ‘클로드 미토스’ 등장에 이어 미국 정부의 앤스로픽 모델 수출 통제는 보안·AI 업계에 큰 충격을 줬다. ‘프로젝트 글래스윙’에 최근 참여하게 된 한국 정부·기업의 미토스 접근권은 막혔다. ‘보안 주권’에 대한 관심이 높아진 가운데 한국 주도의 자발적 보안 연합 ‘프로젝트 캐노피’가 17일 공식 출범했다.
AI발 보안 위협에 공동 대응하기 위해 화이트해커를 지원하는 사단법인 프로젝트 플라즈마를 중심으로 현대차·LG전자·두나무 등 27개 기업이 뭉쳤다. 캐노피 위원장은 박세준 티오리 대표가 맡았다. 캐노피 출범을 이틀 앞둔 15일 서울 강남구 티오리 사무실에서 박세준 위원장을 만났다.
박 위원장은 “학교, 병원, 공공기관 등 보안 사각지대에 놓인 민생 인프라를 보호하는 관점에서 공익 이니셔티브가 필요하다고 생각했다”고 출범 배경을 설명했다. 이어 “한국을 시작점으로 아시아부터 유럽, 북미까지 3~6개월 안에 글로벌 프로젝트로 확장할 예정”이라고 밝혔다.
앤스로픽의 글래스윙이 프런티어 AI 모델 미토스를 활용해 보안 취약점을 찾는 반면 캐노피는 특정 AI 모델 하나에만 의존하지 않고 활용 가능한 모든 AI 기술을 총동원하는 확장형 프로젝트다. 폐쇄형으로 운영되는 글래스윙과 달리 캐노피는 검증 절차를 거친 기업·기관이 폭넓게 참여해 취약점 정보를 공유받을 수 있다.
캐노피는 핵심 운영 주체인 ‘스튜어드’와 취약점 정보를 공유받고 확산하는 ‘디펜딩 파트너’ 구조로 운영된다. 박 위원장은 “캐노피를 운영하려면 기술과 재원이 필수적”이라며 “스튜어드 그룹은 두 가지를 유의미하게 제공하기로 결심한 파트너”라고 말했다.
스튜어드에는 두나무, LG유플러스, 포스코DX, 한화손해보험, 티오리한국 등 5개사만 참여했다. 현대차, LG전자, 금융결제원 등은 디펜딩 파트너로 합류했다. 스튜어드는 패치가 나오기 전의 민감한 취약점 정보에도 접근 가능하며 디펜딩 파트너는 패치된 정보를 공유받는다. 티오리는 AI 보안 점검 시스템 ‘진트’를 활용해 취약점을 찾을 수 있도록 30억원 규모의 토큰 비용을 무상으로 제공한다.
다리오 아모데이 앤스로픽 최고경영자(CEO)는 지난달 “중국 AI 모델이 현재 앤스로픽 수준에 도달하기까지 6~12개월 정도 남아 있다”고 말한 바 있다. 박 위원장은 “미토스급이 나오기까지 4개월밖에 남지 않은 것”이라며 “1년 안에 사이버보안에 자체적으로 활용할 수 있는 프론티어급 AI 역량을 확보하지 못하면 위험해질 수 있다”고 지적했다.
박 위원장은 AI가 사이버 공격의 시간표를 바꾸고 있다고 강조했다. 그는 “100개 기업 중 10곳을 고르던 공격자는 이제는 100곳을 동시에 공격할 수 있다”며 “몇 달이 걸리던 사이버 공격의 타임라인이 AI로 인해 수 분 단위로 줄어들었다”고 설명했다.
박 위원장은 “향후 보안의 중요성과 시장 규모는 커질 것이고 AI를 활용하는 고급 보안 전문가는 귀해질 것”이라며 “AI로 공격자보다 취약점을 빨리 찾아내고 우선순위를 정해 문제없이 패치를 신속하게 적용하는 것이 중요하다”고 말했다.
캐노피라는 이름은 박 위원장의 아이디어다. 박 위원장은 “글래스윙은 송충이 때부터 독성을 띠어 천적이 없는 나비”라며 “캐노피는 ‘숲의 지붕’이라는 뜻으로 오픈소스 생태계를 공익적인 관점에서 지켜주는 역할을 하겠다는 의미를 담았다”고 밝혔다.
