2026년 4월 7일, 미국 앤트로픽은 사이버 보안 역사에 남을 만한 발표를 했다. 최신 AI 모델 ‘Claude Mythos Preview’와 이를 활용하는 업계 공동 컨소시엄 ‘Project Glasswing’의 시작을 알린 것이다.
발표 후 약 7주가 지난 현재, 미토스 프리뷰는 1,000개가 넘는 오픈소스 프로젝트를 스캔해 23,019건의 취약점 후보를 검출했다. 이 가운데 6,202건은 고위험 또는 치명적 등급으로 분류됐다.
숫자만 보면 ‘AI가 인간을 대신해 버그를 찾아준다’는 희소식처럼 읽히지만, 경영 관점에서 이 데이터를 다시 보면 다른 문제가 드러난다.
“1%밖에 안 고쳤다”
앤트로픽은 미토스가 발견한 취약점 중 현재 완전히 패치된 것은 1% 미만이라고 밝혔다. 이 글이 출발하는 핵심 문제다.
AI의 ‘발견 속도’와 인간의 ‘수정 속도’ 사이에는 이미 큰 간극이 생겼다. 기존의 취약점 평가 관행은 ‘악용하려면 높은 숙련도가 필요하다’는 전제를 두고 대응 시간을 길게 잡아왔다.
그러나 미토스는 그 전제를 무너뜨렸다. 낮은 비용과 범용 AI 모델만으로도, 취약점이 공개된 뒤 악용되기까지의 시간이 몇 시간 수준으로 단축될 수 있음을 보여주었다.
엔지니어가 취약점을 검증하고 수정·테스트하는 절차는 수일에서 수주가 걸린다. 그 사이에 드러난 ‘구멍’은 그대로 방치된다. 이 공백은 공격자에게 사실상 보너스 시간을 제공한다.
한 조사에 따르면 대기업에서 발견된 보안 취약점의 45% 이상이 12개월 뒤에도 미수정 상태로 남아 있었다.
이 수치는 미토스 등장 이전의 조사 결과다. 발견 속도가 AI로 수십 배 빨라진 현실에서는 ‘패치 병목’의 심각성은 더 커질 수밖에 없다.
Glasswing이 보여 공격과 방어의 비대칭성
‘Project Glasswing’에는 아마존, 애플, 구글, 시스코, 크라우드스트라이크, JP모건체이스, 마이크로소프트, 엔비디아 등 주요 기술 기업들이 참여하고 있다. 앤트로픽이 이 정도 대기업들을 끌어들인 것은 방어 측에 먼저 우위를 주기 위해서다.
앤트로픽은 “AI 모델을 악용한 공격 리스크는 심각하지만, 같은 능력을 취약점 발견·수정에 쓸 수 있기 때문에 낙관적인 이유도 있다”고 밝혔다.
하지만 이는 낙관론의 근거인 동시에 경계해야 할 이유이기도 하다.
영국 AI 안전보안 기관(AISI)의 평가에 따르면 미토스 프리뷰는 전문가 수준의 ‘캡처 더 플래그(CTF)’ 과제를 73%의 성공률로 풀어냈다.
2025년 4월 이전에는 이런 고난도 과제를 풀 수 있는 모델이 존재하지 않았다.
즉, 같은 수준 이상의 능력을 가진 모델이 앞으로 악의적인 조직의 손에 넘어갈 경우, 고도의 전문지식 없이도 대규모 공격을 실행할 수 있는 환경이 생긴다.
개인 개발자들이 AI로 만든 애플리케이션도 대량으로 쏟아지고 있다. 이 가운데 상당수는 근본적인 보안 결함을 안고 있다. 공격 대상은 계속 넓어지고 있고, 이제는 패치 관리만으로 방어하기 어려운 것이 현실이다.
제로트러스트 아키텍처를 추진하는 한 벤더는 “경계형 보안 사고방식으로는 이미 알려진 취약성조차 제대로 대응하지 못하고 있다”고 말했다.
그는 “AI가 알려지지 않은 취약성을 초 단위로 찾아내는 세계에서는 ‘침입을 막는다’는 전제에서 ‘침입당해도 피해를 최소화한다’는 전제로 전환해야 한다”고 설명했다.
경영자가 지금 당장 재검토해야 할 세 가지 관점
그렇다면 기업은 무엇을 해야 할까. Glasswing의 성과와 전문가 의견을 바탕으로, 경영자가 다시 점검해야 할 쟁점을 정리하면 세 가지다.
첫째는 ‘침입을 전제로 한’ 체제 설계다. 제로트러스트 도입과 마이크로 세그멘테이션을 통해, 만약 침입이 발생하더라도 피해가 일부 영역에 머물도록 설계해야 한다.
앤트로픽은 네트워크 방어 담당자가 패치 테스트와 적용 기간을 줄이고, 기본 설정 강화, 다중인증 철저 적용, 포괄적인 로그 수집 등을 추진해야 한다고 제언했다.
둘째는 취약성 관리 자동화와 AI 도구 도입이다. AI가 취약성을 찾는 속도에 맞추려면, 우선순위 판단과 분류를 돕는 AI 도구 활용이 현실적인 해법 중 하나다.
‘Mythos Preview’는 보안 전용 모델이 아니라 범용 모델이지만, 놀라운 사이버 보안 능력을 보여줬다. 비슷한 접근은 방어 측에서도 활용할 수 있다.
셋째는 보안을 경영 리스크로 보고 예산을 편성하는 일이다. 연 단위 예산 사이클로 보안 투자를 결정하면 대응이 늦어진다.
위협 변화 속도에 맞춰 실시간에 가까운 투자 판단 구조를 가질 수 있는지가 경영의 과제가 되고 있다.
사이버 피해가 사업 지속을 위협하는 규모가 되면, 경영자의 선관주의 의무가 문제 되는 사례도 국내외에서 늘고 있다.
Glasswing이 비춘 ‘다음 프론티어’
Mythos가 던진 가장 중요한 시사점은 새로운 취약성을 발견했다는 사실 자체가 아니다. 더 중요한 것은 ‘발견의 가치가 낮아졌다’는 점이다.
취약성 탐지는 저렴하고 풍부해지고 있다. 반면 수정 작업은 여전히 사람에게 의존하며, 그 자원은 한정돼 있다.
병목은 보안 연구자에서 소프트웨어 유지보수 담당자로 옮겨갔다.
앤트로픽이 제시하는 방향은 분명하다. 조직이 기계 속도에 맞춰 패치를 적용할 수 있는 파이프라인을 구축하고, 공격자보다 앞서가야 한다는 것이다.
이는 이상론이 아니라 기술적으로 점점 현실에 가까워지고 있는 목표다.
‘Mythos Preview’가 보여준 것은 단순히 “AI가 인간을 돕는다”는 이야기가 아니다.
인간만으로는 따라잡기 어려운 속도로 위협 환경이 바뀌었다는 구조적 전환점이다.
댓글0