안트로픽의 ‘클로드 미토스’가 사이버보안 미래에 던지는 충격

AI가 사이버보안의 판도를 바꾼다

지난 2주 전, 안트로픽(Anthropic)은 새로운 AI 모델 ‘클로드 미토스 프리뷰(Claude Mythos Preview)’를 발표했다. 이 모델은 전문가의 개입 없이도 소프트웨어 취약점을 자동으로 발견하고, 이를 실전 공격 코드로 변환할 수 있는 능력을 갖추고 있다. 특히 운영체제와 인터넷 인프라 등 핵심 소프트웨어에서 발견된 취약점은 수천 명의 개발자도 찾지 못한 수준으로, 일상적으로 사용되는 기기와 서비스에 심각한 보안 위협으로 작용할 수 있다.

일반 공개 제한… but 보안계는 충격에 휩싸여

안트로픽은 이 모델을 일반 대중에게 공개하지 않고, 소수의 기업에만 제공하기로 결정했다. 이 발표는 사이버보안계에 큰 파장을 일으켰다. 공개된 정보가 부족해 일부에서는 안트로픽이 GPU 부족을 이유로 들며 보안 이슈를 핑계로 삼는 것이 아니냐는 의구심을 제기하기도 했다. 반면, 안트로픽이 AI 안전성(AI safety) 미션을 고수한다는 의견도 있다. 과장된 기대와 비판, 현실과 마케팅이 혼재된 가운데, 전문가조차도 이 상황을 쉽게 판단하기 어려운 상황이다.

‘미토스’는Incremental한 한 걸음

‘미토스’를 단순한 기술 발전의 한 단계로 바라보는 시각도 있다. 하지만 장기적 관점에서 볼 때,Incremental한 변화조차도 큰 의미를 지닐 수 있다. AI가 사이버보안에 미치는 영향을 이해하기 위해서는 ‘시프트 베이스라인 증후군(Shifting Baseline Syndrome)’을 고려해야 한다. 이는 사람들이 장기적 변화에 둔감해지는 현상으로, 온라인 프라이버시와 AI 발전에서도 이미 나타나고 있는 현상이다.

‘미토스’가 발견한 취약점 중 일부는 지난해 또는 작년의 AI 모델로도 찾을 수 있었을지 모른다. 하지만 5년 전의 AI 모델로는 불가능했을 것이다. 이는 AI 기술이 불과 몇 년 만에 얼마나 빠르게 발전했는지를 보여준다. 소스 코드 내 취약점을 찾는 작업은 오늘날의 대형 언어 모델(Large Language Model)이 탁월하게 수행하는 분야다. 이 같은 능력이 곧 등장할 것이라는 점은 이미 명확했지만, 문제는 우리가 어떻게 이에 대응하느냐에 있다.

공격과 방어의 새로운 균형점

자율 해킹 AI가 보안의 ‘공격과 방어’ 균형을 영구적으로 무너뜨릴 것이라고 보는 것은 과도한 단순화다. 실제로는 훨씬 복잡한 양상일 가능성이 크다. 취약점의 발견·검증·패치 과정이 자동화될 수 있는 경우도 있는 반면, 패치가 어려운 경우도 존재한다. 예를 들어, IoT 기기나 산업 설비는 업데이트가 드물거나 수정이 어려운 경우가 많다. 반대로, 취약점은 찾기 쉬워도 검증이 어려운 경우도 있다. 복잡한 분산 시스템이나 클라우드 플랫폼은 수천 개의 상호작용 서비스로 구성되어 있어, 실제 취약점과 허위 양성(false positive)을 구분하고 재현하는 데 어려움을 겪을 수 있다.

패치 가능성과 검증 가능성으로 분류해야

따라서 우리는 취약점을 ‘패치 가능 여부’와 ‘검증 가능 여부’로 분류해야 한다. 이 분류를 통해 보안 전략을 수립하고, AI가 초래할 새로운 위협에 대응할 수 있는 방법을 모색해야 한다. ‘미토스’와 같은 AI 모델의 등장은 사이버보안의 미래를 재정의할 수 있는 전환점이 될 것이다.