바쁘신 여러분들을 위해 결론부터 말씀 드리겠습니다.
• Mythos Preview는 거의 모든 주요 OS·브라우저의 취약점을 자율 탐색하고 익스플로잇까지 개발하는 AI 모델입니다
• 앤스로픽은 공개 대신 40개 이상 기업에만 제한 공개하는 Project Glasswing 컨소시엄 방식을 선택했습니다
• 진짜 문제는 Mythos 자체가 아니라, 이와 동급의 AI가 해커 손에 들어갈 때입니다
여러분은 “AI가 해킹도 할 수 있다”는 말 들어보셨죠?
이제 그게 현실이 됐습니다.
앤스로픽이 4월 7일 발표한 Claude Mythos Preview는, 기존 AI 모델과 차원이 다른 사이버 보안 능력을 갖췄습니다.
단순히 “코드를 잘 읽는” 수준이 아니라, 스스로 취약점을 찾고, 익스플로잇을 작성하고, 패치까지 제안합니다.
왜 이게 당신과 관련있는지, 정리합니다.
1. Mythos Preview가 실제로 해낸 것
앤스로픽의 프론티어 레드팀(Frontier Red Team)이 공개한 결과에 따르면, Mythos Preview는 모든 주요 운영체제와 웹 브라우저에서 취약점을 발견했습니다.
리눅스 커널에서 여러 취약점을 체인(연결)해 공격자가 머신을 완전히 장악할 수 있는 익스플로잇을 자율 작성했습니다.
FreeBSD에서 17년 된 원격 코드 실행 취약점을 스스로 찾아내고, 루트 권한 획득 익스플로잇을 완성했습니다.
OpenBSD에서도 수시간 만에 수백 개 파일을 스캔해 취약점을 탐지했습니다.
앤스로픽은 “사이버 역량에서 다른 어떤 AI 모델보다 앞서 있다”고 평가했습니다.
2. 왜 공개하지 않았나 — 양날의 검
Mythos가 이 정도 능력이면, 오픈소스로 공개하면 다들 취약점을 고칠 수 있지 않을까요?
앤스로픽은 정반대 판단을 했습니다.
Mythos를 공개하면 방어자보다 공격자가 먼저 활용할 가능성이 크기 때문입니다.
취약점 탐지부터 익스플로잇 개발까지 걸리는 시간이 극적으로 단축되면, 화이트해커뿐 아니라 블랙해커, 국가 단위 공격 조직, 사이버 범죄 집단 모두가 같은 속도로 움직이게 됩니다.
AI 보안 분석가 앨리 멜런은 “취약점 발견부터 악용까지의 시간 간격이 매우 짧아지고 있다”고 진단했습니다.
그래서 앤스로픽은 제한 공개를 선택했습니다.
3. Project Glasswing — 선택받은 40개 기업
Project Glasswing은 Mythos를 제한된 기업 컨소시엄에만 제공하는 방식입니다.
참여 기업은 AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft, Nvidia 등 40개 이상입니다.
이 기업들은 Mythos를 방어적 보안 작업에만 사용하고, 발견한 취약점을 업계와 공유하는 구조입니다.
Constellation Research는 “Project Glasswing은 사이버보안 산업과 앤스로픽 모두에게 좋은 접근이자, Claude 모델 패밀리를 위한 훌륭한 마케팅”이라고 평가했습니다.
하지만 비참여 기업은 Mythos의 혜택을 받지 못하는 구조적 불평등이 생깁니다.
4. 보안 업계에 미친 충격
Mythos 발표 소식에 보안 기업 주가가 요동쳤습니다.
CrowdStrike, Palo Alto Networks, Zscaler, SentinelOne, Okta, Tenable의 주가가 5~11% 하락했습니다.
투자자들이 우려한 건 “AI가 기존 보안 제품의 수요를 대체할 수 있다”는 가능성이었습니다.
BeyondTrust 보안팀은 “AI 보조 도구가 치명적 취약점의 악용 시간을 주 단위에서 분 단위로 압축했다”고 관측했습니다.
Forrester는 “사이버 보험에서 AI 발견 취약점의 미패치에 대한 면책 조항이 등장할 것”이라고 예측했습니다.
보안의 경제학 자체가 바뀌고 있습니다.
5. 기업이 당장 준비해야 할 4가지
첫째, 패치 주기를 단축하세요.
AI가 취약점을 발견하는 속도가 빨라졌으니, 패치도 그 속도에 맞춰야 합니다.
둘째, AI 기반 보안 도구를 도입하세요.
AI 공격에는 AI 방어가 답입니다. 24시간 모니터링과 자동 대응 체계가 필요합니다.
셋째, 취약점 관리 프로세스를 재설계하세요.
국가취약점데이터베이스(NVD) 의존도를 낮추고, AI가 발견하는 비공식 취약점 경로도 확보해야 합니다.
넷째, 사이버 보험 약관을 꼼꼼히 확인하세요.
AI가 발견한 취약점을 정해진 기한 내 패치하지 않으면 보험금이 나오지 않는 조항이 곧 표준이 될 수 있습니다.
정리하면
핵심은 Mythos 자체가 위협이 아니라, Mythos와 동급의 AI가 해커 손에 들어가는 순간이 진짜 위협이라는 것입니다.
1. Mythos Preview는 모든 주요 OS·브라우저 취약점 자율 탐색 및 익스플로잇 개발 가능
2. 공개하면 공격자가 먼저 악용할 수 있어 Project Glasswing 컨소시엄으로 제한 공개
3. 40개 이상 글로벌 기업만 참여, 구조적 불평등 존재
4. 보안 업계 주가 요동, 보험 면책 조항 등 경제학 변화 시작
5. 패치 주기 단축, AI 방어 도입, 보험 약관 확인이 당면 과제
AI가 해킹하는 시대가 왔습니다. 방어도 AI로 해야 합니다.
자주 묻는 질문 (FAQ)
Q. 일반 기업도 Mythos를 쓸 수 있나요?
현재는 Project Glasswing 참여 기업에만 제한됩니다. 앤스로픽은 산업 전체에 학습 내용을 공유하겠다고 했지만, Mythos 자체에 대한 접근은 제한적입니다.
Q. 해커가 Mythos와 비슷한 AI를 만들면 어떻게 되나요?
그게 바로 앤스로픽이 우려하는 시나리오입니다. 경쟁사나 오픈소스 커뮤니티에서 동급 모델이 나오면, 제한 공개의 의미가 퇴색합니다. 그 전에 방어 체계를 갖추는 것이 핵심입니다.
Q. 기존 보안 솔루션은 무용해지나요?
무용해지는 게 아니라, 역할이 바뀝니다. AI가 취약점을 발견하면, 기존 도구는 그 결과를 검증하고 대응하는 방향으로 진화해야 합니다. 완전 자동화보다 AI + 인간 협업이 당분간 더 안전합니다.
감자나라ai 유튜브 채널에서 AI 보안 트렌드와 실전 대응법을 더 자세히 다룹니다.
구독해주시면 감사하겠습니다.
감사합니다. 다음 시간에 뵙겠습니다.
—
작성: 감자나라ai (오종현)
발행: potato-ai.xyz
