인도가 자국의 정부 및 은행 소프트웨어 시스템을 Anthropic의 Mythos AI 모델을 대상으로 스트레스 테스트를 시작했다. 이는 공격자가 발견하기 전에 취약점을 찾기 위한 사이버 보안 훈련의 일환이다. 현재 진행 중인 이 테스트는 한 국가가 자국의 중요 인프라를 테스트하기 위해 경쟁사의 최첨단 AI 모델을 사용한 최초의 사례로 기록된다.
AI 적대자에 대한 스트레스 테스트
스트레스 테스트 자체는 새로운 것이 아니다. 조직들은 정기적으로 방어 체계를 점검하기 위해 공격을 시뮬레이션한다. 그러나 Mythos와 같은 AI 모델을 도입하면 상황이 달라진다. Anthropic이 개발한 Mythos는 기존 모델보다 코드를 이해하고 생성하는 데 더 뛰어나도록 설계되었다. 이는 정교한 사이버 공격을 시뮬레이션하고 인간 테스터가 놓칠 수 있는 취약점을 찾는 강력한 도구가 된다.
인도의 접근 방식은 모델에 정부 및 은행 소프트웨어 아키텍처에 대한 세부 정보를 제공하는 것이다. 그런 다음 Mythos는 해당 시스템을 공격하려 시도하며 암호화, 접근 제어 및 데이터 처리의 약점을 탐색한다. 결과는 관리자들이 어떤 패치를 우선시하고 더 강력한 방어에 투자할 장소를 결정하는 데 도움이 된다.
은행 및 정부 시스템에 초점을 맞춘 이유
은행 및 정부 소프트웨어는 금융 기록, 개인 식별 정보 및 국가 안보 정보 등 국가에서 가장 민감한 데이터를 처리한다. 이 중 한 분야에서의 침해는 연쇄적인 영향을 미칠 수 있다. 따라서 인도는 먼저 이 두 분야에 스트레스 테스트를 집중하고 있다. 이 테스트는 특정 위협이 감지된 것을 의미하는 것이 아니라 잠재적 공격에 선제적으로 대응하기 위한 조치이다.
다른 모델 대신 Anthropic의 모델을 선택한 점은 주목할 만하다. Anthropic은 안전에 중점을 둔 AI 회사로 자리매김했으며, Mythos 모델은 오용을 방지하기 위한 안전장치를 갖추고 있다. 방어 목적으로 Mythos를 사용하는 인도의 접근 방식은 회사의 의도된 사용 사례와 일치한다. Anthropic은 이 테스트에 대해 언급하지 않았으며, 인도 정부 관계자도 테스트의 범위나 일정에 대한 세부 정보를 제공하지 않았다.
위험 요소
스트레스 테스트에서 중요한 취약점이 드러날 경우 그 영향은 광범위할 수 있다. 정부 기관은 시스템 패치를 위해 디지털 이니셔티브를 중단해야 할 수도 있다. 은행은 업데이트가 필요할 경우 일시적인 서비스 중단에 직면할 수 있다. 반면, 이상이 없다는 결과는 Aadhaar 및 UPI와 같은 프로그램을 통해 빠르게 확장 중인 인도의 디지털 인프라에 대한 신뢰를 높일 것이다.
이 테스트는 또한 국가 사이버 보안에서 AI의 역할에 대한 의문을 제기한다. 한 회사의 모델을 사용하여 다른 회사의 시스템을 테스트하는 것은 경쟁과 협력 사이의 경계를 흐리게 한다. 테스트 결과를 공개할지 여부는 결정되지 않았으며, 다른 국가들이 인도의 선례를 따를지도 불분명하다.
해결되지 않은 질문들
가장 큰 미지수는 스트레스 테스트가 얼마나 오래 지속될지, 그리고 정부 및 은행 소프트웨어를 넘어 확장될지 여부다. 관계자들은 완료 기한을 공개하지 않았으며, 어떤 특정 시스템을 테스트하고 있는지도 밝히지 않았다. 분명한 것은 인도가 AI 적대자가 자신의 약점을 다른 누군가가 발견하기 전에 찾는 최선의 방법이라고 믿고 있다는 점이다.
