강력한 보안 취약점 탐지 능력을 자랑하는 앤트로픽의 인공지능(AI) 모델 '클로드 미토스 프리뷰(이하 미토스)'가 공개 직후 무단 접근과 정보 유출 논란에 휘말리며, 정작 자체 보안 관리에서는 허점을 드러냈다는 지적이 나온다.
23일 업계에 따르면 앤트로픽은 최근 무단 접근과 유출 사고로 곤혹을 치르고 있다. 지난 21일(현지 시각)에는 미토스에 대한 권한 없는 접근이 이뤄진 사실이 확인되면서 회사가 조사에 나섰다. 접근을 시도한 이들은 협력사 직원 계정과 공개 정보 탐색 도구 등을 활용한 것으로 알려졌다. 블룸버그 등에 따르면, 무단 접근은 앤트로픽이 미토스를 공개한 지난 7일 발생했다.
미토스는 운영체제(OS)와 웹브라우저의 보안 취약점을 탐지하는 데 특화된 모델이다. 기업이 활용할 경우 취약점을 사전에 점검할 수 있다는 점에서 주목받았지만, 동시에 범죄 세력에 의해 공격에 악용될 수 있다는 우려도 제기돼 왔다. 이에 앤트로픽은 일반 공개 대신 '프로젝트 글라스윙'이라는 폐쇄형 프로그램을 통해 애플, 마이크로소프트 등 기업과 미국 국가안보국(NSA) 등 일부 기관에만 제한적으로 제공해왔다.
그러나 잇따른 보안 사고로 앤트로픽의 보안 관리에 대한 신뢰가 흔들리고 있다는 평가가 나온다. 지난달 31일에는 앤트로픽의 클로드 AI 개발 도구 '클로드 코드'의 소스(설계도)가 직원 실수로 유출되는 사고가 발생했다. 클로드 코드는 클로드를 서비스에 적용할 때 사용하는 개발 도구다.
사고는 당시 개발자들이 이용하는 소프트웨어 패키지 저장소인 NPM에 클로드 코드를 배포하는 과정에서 발생했다. 이때 암호화된 코드를 원래 형태로 복원할 수 있는 '맵(map)' 파일이 함께 포함되면서, 내부 코드 구조가 외부에 노출됐다.
노출된 코드 규모는 51만2000줄 이상, 파일 수는 1900여 개에 달한다. 해당 코드는 깃허브 등 코드 공유 플랫폼을 통해 확산돼, 업계에서는 핵심 기술이 외부에 사실상 공개됐다는 말까지 나왔다. 앤트로픽은 당시 성명을 통해 "이는 보안 침해 사고가 아니라 배포 과정에서 발생한 직원의 실수(human error)"라고 밝혔다.
이 외에도 지난달 25일에는 콘텐츠 관리 시스템 설정 오류로 아직 공개되지 않은 미토스 관련 제원 일부가 외부에 노출되기도 했다.
이 같은 연쇄 논란은 앤트로픽의 상장에도 영향을 미칠 수 있다는 전망이 나온다. 앤트로픽은 오는 10월 기업공개(IPO)를 추진 중인 것으로 알려졌다. 블룸버그에 따르면 앤트로픽은 최근 약 8000억달러(약 1200조원) 규모의 기업가치로 평가되는 투자 제안을 받은 것으로 전해졌다.
월스트리트저널(WSJ)은 "클로드 코드 소스 유출은 앤트로픽에 큰 타격"이라며 "안전성 측면에서 쌓아온 명성에 치명적인 것은 물론, 기업 고객 유치 경쟁에서 중요한 영업 비밀까지 노출될 위험이 있다"고 했다.