2026년 5월 8일 금요일 발행
오전 9시 (미국 동부시간)2026년 5월 8일 금요일 업데이트됨
오후 4시 01분 (미국 동부시간)

사이버 보안 전문가와 AI 연구원들은 CNBC와의 인터뷰에서 Mythos가 드러낸 위험성은 Anthropic과 OpenAI를 비롯한 기존 모델을 사용해서도 충분히 구현 가능하다고 밝혔습니다.

AI는 취약점을 발견하는 속도를 가속화하고 있지만, 기업들은 여전히 ​​취약점을 수정하는 데 며칠 또는 몇 주가 걸리면서 시스템이 노출되는 격차가 점점 커지고 있습니다.

Anthropic, OpenAI를 비롯한 여러 기업들이 사이버 방어 역량 개발에 힘쓰고 있지만, 초기에는 공격 쪽이 우위를 점하고 방어 쪽은 그렇지 않다고 연구원들은 말합니다.

CNBC와의 인터뷰에서 앤트로픽은 초기 모델들이 소프트웨어 취약점을 찾아낼 수 있었다는 점을 부인하지 않았습니다.

지난달 전 세계 은행, 기술 대기업 및 정부는 인류 원리를 이용한 ’미토스 ( Mythos)’라는 모델이 제기하는 위험을 막기 위해 분주히 움직였습니다. 이 모델은 매우 강력하여 전 세계 소프트웨어 인프라에서 이전에 알려지지 않았던 수천 개의 취약점을 발견했다고 합니다.

단 한 가지 문제가 있다. 그들이 우려하는 능력은 이미 존재한다는 것이다.

사이버 보안 전문가와 인공지능 연구원들은 CNBC와의 인터뷰에서 Mythos가 밝혀낸 소프트웨어 취약점은 Anthropic과 OpenAI를 비롯한 기존 모델을 사용해도 찾아낼 수 있다고 말했습니다.

사이버 보안 회사 watchTowr 의 CEO인 벤 해리스 는 ”현재 업계 전반에서 사람들이 공개된 모델을 교묘하게 조합하여 Mythos에서 발견된 취약점과 매우 유사한 결과를 얻어낼 수 있다는 것을 목격하고 있습니다.”라고 말했습니다 .

Mythos는 인공지능 기반 사이버 범죄의 위험한 새 시대가 도래할지도 모른다는 우려로 기업 경영진과 정책 입안자 모두에게 충격을 주었습니다 . Anthropic은 Apple을 포함한 몇몇 미국 기업에만 Mythos를 제공했습니다.아마존​JP 모건 체이스그리고 팔로알토네트웍스악의적인 행위자들이 이를 손에 넣을 위험을 줄이기 위해서입니다.

그러한 예방 조치에도 불구하고, 이번 유출 사건은 트럼프 행정부가 향후 모델에 대한 새로운 정부 감독 방안을 고려하게 만들었다.

이번 Mythos 출시로 앤트로픽은 오픈AI와의 경쟁이 더욱 심화되는 가운데, 두 AI 거대 기업 간의 치열한 경쟁 구도를 형성하고 있습니다. Mythos 출시 몇 주 후, 오픈AI의 CEO 샘 알트만은 사이버 보안에 특화된 모델인 GPT-5.5-Cyber를 발표했습니다 .

OpenAI는 목요일에 검증된 사이버 보안 팀에 GPT-5.5-Cyber에 대한 제한적인 접근 권한을 허용했습니다.

글래스윙 프로젝트 라는 보안 조치의 일환으로 진행된 미토스의 단계적 배포는  기업들이 범죄 집단과 적대적인 국가로부터의 공격에 대비하여 사이버 방어 체계를 강화할 시간을 벌어주기 위한 것이었습니다.

″가장 큰 위험은 취약점의 증가, 침해 건수의 증가, 그리고 학교, 병원, 은행을 포함한 여러 기관에 랜섬웨어로 인한 재정적 피해가 엄청나게 커지는 것입니다.”라고 앤트로픽 CEO 다리오 아모데이 는 이번 주 앤트로픽 행사에서  말했습니다 .

‘충분히 무섭다’

하지만 사이버 전쟁의 최전선에서 싸우는 사람들에게는 앤트로픽이 광고하는 핵심 기능 중 하나인 대규모 소프트웨어 취약점 탐지 기능은 이미 작년 부터 존재해 왔습니다 .

사이버보안 회사 비독(Vidoc)의 CEO인 클라우디아 클록은 CNBC와의 인터뷰에서 ”현재 우리가 보유한 모델은 대규모 제로데이 공격을 탐지할 수 있을 만큼 강력하며, 이는 충분히 무서운 일이다”라고 말했다.

그녀는 “1년은 아니더라도 몇 달 동안 그런 상황이 지속됐다”고 말했다.

″제로데이”라는 용어는 이전에 알려지지 않았고 아직 패치되지 않은 소프트웨어 결함을 의미하며, 공격자에게 방어자가 대응하기 전에 이를 악용할 수 있는 기회를 제공합니다.

Vidoc의 연구원들은 Mythos가 발견한 것과 동일한 취약점을 찾을 수 있는지 테스트 하기 위해 ”오케스트레이션”이라는 기술을 활용했습니다 . 이름에서 알 수 있듯이, 이 과정은 코드를 더 작은 조각으로 분할하고 다양한 도구 또는 모델 간의 조정을 통해 결과를 교차 검증하는 워크플로를 만드는 것을 포함합니다.

클록은 ”기존 모델을 동일한 코드베이스에 적용하여 동일한 취약점을 탐지할 수 있는지 확인했습니다.”라고 말하며, ”그 결과, OpenAI와 Anthropic의 기존 모델 모두에서 동일한 취약점을 탐지할 수 있었습니다.”라고 덧붙였습니다.

또 다른 사이버 보안 회사 인 Aisle은 Mythos의 주요 결과 중 상당수가 더 저렴한 모델을 병렬로 사용하여 재현될 수 있음을 발견했습니다. 이는 최신 모델을 보유하는 것보다 규모와 조정이 더 중요하다는 것을 시사합니다.

″어디를 찾아야 할지 추측해야 하는 뛰어난 탐정 한 명보다 모든 곳을 샅샅이 뒤지는 유능한 탐정 천 명이 더 많은 도청 장치를 찾아낼 것입니다.”라고 Aisle의 설립자 스타니슬라프 포트는 블로그 게시물 에 썼습니다 .

CNBC와의 인터뷰에서 앤트로픽은 초기 모델들이 소프트웨어 취약점을 찾아낼 수 있었다는 점을 부인하지 않았습니다.

실제로 회사 대변인은 앤트로픽이 수개월 전부터 AI의 사이버 보안 능력이 급속도로 발전하고 있다고 경고해 왔다고 밝혔습니다. 그들은 널리 사용되는 모델인 클로드 오푸스 4.6이 오픈 소스 소프트웨어에서 500개 이상의 ”심각도 높은” 취약점을 발견했다는 내용의 2월 블로그 게시물을 예로 들었습니다.

이번 주 앤트로픽 행사 에서 아모데이는 이 점을 재확인하며, Mythos가 발견한 소프트웨어 취약점의 규모가 이전 모델에 비해 급증했지만 이러한 추세 자체는 새로운 것이 아니라고 말했습니다.

아모데이 의원은 ”위험은 매우 현실적입니다. 이것이 바로 우리가 그러한 조치를 취한 이유입니다.”라고 말하며, ”하지만 어떤 면에서는 그다지 놀라운 일도 아닙니다. … 우리는 이미 오래전부터 이러한 경고를 받아왔습니다.”라고 덧붙였다.

히스테리와 공황

앤트로픽 대변인은 ”미토스가 다른 점은 인간의 개입을 거의 또는 전혀 없이 작동하는 익스플로잇을 개발하여 한 단계 더 나아갈 수 있다는 점이며, 이는 이전에는 숙련된 연구원이 필요했던 프로세스를 효과적으로 자동화하는 것”이라고 말했다.

하지만 사이버 연구원들에 따르면 범죄 조직이나 적대국을 위해 일하는 해커들은 이미 이러한 기술을 보유하고 있다. 클록은 북한, 중국, 러시아의 해커들이 ”앤트로픽을 사용하든 안 하든 이러한 방법을 알고 있다”고 말했다.

해리스의 말에 따르면, 인공지능을 이용한 해킹 위협으로 인해 기업과 정부 규제 당국은 새로운 형태의 랜섬웨어 및 기타 공격으로부터 핵심 시스템을 보호하는 데 우려를 표하고 있습니다.

그는 최근 몇 주 동안 은행, 보험사, 규제 당국과의 대화를 ”히스테리”라고 표현했습니다.

생성형 인공지능이 등장하기 전에도 기업들은 숙련된 해커들이 새롭게 발견된 취약점을 단 몇 시간 만에 악용하는 문제에 직면했고, 코드 패치는 종종 며칠 또는 몇 주가 걸렸습니다. 일부 패치는 핵심 시스템을 오프라인으로 전환해야 하므로 문제를 더욱 복잡하게 만들었습니다.

해리스는 ”업계는 현재 직면한 취약점의 수 때문에 패닉 상태에 빠져 있다”며, ”하지만 Mythos가 널리 보급되기 전에도 취약점을 해결하는 속도가 충분하지 않았다”고 말했다.

해리스에 따르면, 이전에는 전 세계적으로 극소수의 전문가만이 소프트웨어의 숨겨진 취약점을 찾아내고 악용할 능력과 시간을 가지고 있었습니다. 하지만 이제 현재 사용 가능한 AI 모델을 활용하면 사이버 공격을 감행하는 데 필요한 진입 장벽이 낮아졌습니다.

해리스는 이는 은행을 비롯한 여러 공격 대상이 더욱 빈번해질 것이며, 이전에는 사이버 범죄자들의 관심을 크게 끌지 못했던 소프트웨어 시스템들도 이제 위협에 직면하게 될 것임을 의미한다고 말했다.

공격팀 우위

Anthropic, OpenAI를 비롯한 여러 기업들이 파악한 문제에 상응하는 사이버 방어 역량을 개발하기 위해 노력하고 있지만, 초기에는 방어보다는 공격이 우위를 점하고 있다고 연구원들은 말합니다.

JP모건의 제이미 다이먼은 지난달 인공지능 도구가 궁극적으로 기업들이 사이버 공격으로부터 스스로를 방어하는 데 도움이 될 수 있지만, 처음에는 오히려 기업들을 더 취약하게 만든다고 지적 하며 이와 같은 점을 시사했습니다 .

″발견된 취약점의 양은 상당히 증가했지만, 이를 해결하는 데 도움이 되는 도구는 아직 도입되지 않은 것 같습니다.”라고 메이어 브라운 로펌의 파트너이자 뉴욕 금융감독청의 사이버보안 담당 부국장을 역임했던 저스틴 헤링은 말했습니다.

헤링은 ”취약점 관리는 사이버 보안 분야에서 시지포스처럼 끝없는 과제”라고 말했다.

초기 미소스(Mythos) 배포에 참여했던 소수의 사용자들은 취약점 패치를 우선적으로 진행할 수 있었지만, 단점도 있습니다. AI 연구원들은 앤트로픽(Anthropic)의 주장을 독립적으로 검증하거나 이에 대한 방어책을 구축하기 위해 미소스에 접근할 수 없었습니다.

일각에서는 이로 인해 더 넓은 사이버 커뮤니티가 문제 해결에 참여하는 것을 막았다고 말합니다.

앤트로픽의 모델을 사용하는 사이버 보안 스타트업 텐자이의 CEO인 파벨 구르비치는 이러한 현상이 ”가진 자와 가지지 못한 자의 계층”을 만들어내 사이버 보안 혁신의 속도를 저해할 수 있다고 말했다 .

그는 많은 사이버 보안 스타트업들이 인공지능 시대에 기업을 도울 수 있는 솔루션을 개발하고 있다고 말했다.

사이버 보안 스타트업 자프란 시큐리티의 공동 창업자 벤 세리는 ”그들은 이 문제가 전 세계에 알려지기 전에 세상을 바로잡을 최선의 방법을 찾으려 노력하고 있습니다.”라고 말했습니다 . ”이건 마치 닭과 달걀의 문제와 같아서, 어쩔 수 없이 몇몇 문제가 발생할 수밖에 없습니다.”