앤트로픽(Anthropic)이 클로드 페이블5(Claude Fable 5)와 클로드 미토스5(Claude Mythos 5)를 출시한 직후 미국 정부가 국가안보를 이유로 외국 국적자의 접근을 차단하면서 AI 보안에 대한 논의가 본격화되고 있다. 국내 사이버보안·법학 전문가들은 이번 사태가 고성능 AI 모델이 기존 전략 기술 수출통제 체계 안에 편입되는 신호라고 분석한다. 미국 정부는 클로드 페이블5의 안전장치를 우회하는 탈옥 우려를 근거로 앤트로픽에 모델 제공 중단을 요구했으며, 앤트로픽은 해당 사례가 특정 코드베이스 결함 교정에 국한된 좁은 우회였다고 반박하고 있다. 전문가들은 이 논란이 AI 모델의 보안 취약성과 국가 안보 역량 간 연계성이 더욱 강화될 것임을 예고한다고 지적했다.
전문가들이 공통으로 짚은 첫 번째 대응 과제는 패치 체계의 혁신이다. AI가 취약점을 빠르게 찾아낼수록 방어자는 더 짧은 시간 안에 더 많은 패치를 적용해야 하는 압박을 받는다. 그러나 현장에서 패치는 서비스 중단과 연동 시스템 충돌 가능성 때문에 신속하게 실행하기 어렵다. 전문가들은 자산 현황을 정확히 파악하고, 취약점의 실제 공격 가능성과 자산 중요도를 연계해 우선순위를 정한 다음, 패치 전 단계에서도 방화벽 정책 강화나 접근 제어 같은 대체 통제를 병행해야 한다고 강조했다. 두 번째 과제는 AI 기반 방어 체계 구축이다. 단순히 취약점을 더 많이 찾는 데서 나아가 AI가 방어 정책을 설계하고 운영자가 실제로 적용할 수 있는 대응 방안까지 제시하는 체계가 필요하다. 이를 위해서는 AI 모델 하나만 도입하는 것이 아니라, 모델이 코드를 테스트하고 결과를 구조화하는 ‘하네스’와 여러 에이전트를 조율하는 ‘오케스트레이션’ 환경이 갖춰져야 한다.
세 번째로 AI 에이전트 자체를 보호하는 거버넌스가 중요하다고 강조됐다. 누가 어떤 AI를 사용하고 어떤 데이터를 입력했는지 가시화하지 못하면 민감정보 유출이나 에이전트 권한 남용을 통제할 수 없다. AI 에이전트는 최소 권한 원칙, 강한 인증, 행동 로그, 비인간 신원(NHI) 관리를 기반으로 하나의 신원 주체로 관리돼야 한다는 제언도 나왔다. 네 번째 과제는 법제도 정비로, 선의의 취약점 점검이 법적 위험을 안는 현행 구조를 개선하고 AI 에이전트의 행동에 대한 책임 귀속 기준을 명확히 할 필요가 있다. 마지막으로 장기적으로는 소버린 AI 역량 확보가 필수라는 의견이 모아졌다. 국가안보와 직결되는 공공·국방·금융 분야에서는 외부 모델 의존을 줄이고 폐쇄망에서도 운영 가능한 국내 특화 모델이나 소형언어모델(SLM)을 중심으로 방어 체계를 구축해야 한다는 것이다. 다만 일반 산업 영역에서는 성능 경쟁력을 감안해 글로벌 모델과 국내 모델을 목적에 맞게 조합하는 현실적 전략이 필요하다고 전문가들은 결론 지었다.
