미국 AI 기업 Anthropic(앤트로픽)이 지난 4월 7일 신형 AI 모델 Claude Mythos(미토스)를 공개했다. 발표 직후부터 글로벌 보안 업계의 분위기가 확 바뀌었다. 기존에는 숙련된 보안 인력이 오랜 시간 들여야 했던 취약점 탐색과 공격 경로 분석을 AI가 훨씬 빠르게 보조할 수 있다는 점이 확인됐기 때문이다. 일부 정부 기관과 금융권이 대응 논의를 서두르고 있다.
무엇이 달라졌나
미토스는 주요 운영체제와 웹 브라우저에서 고위험 취약점을 찾아내는 능력을 보였다고 알려졌다. 단순히 찾아내는 데서 끝나지 않는 것이 핵심이다. 어떻게 뚫을지 다단계 공격 시나리오까지 스스로 설계한다. 영국 AI 보안연구소(AISI) 평가에서도 미토스는 통제된 모의 사이버 공격 환경에서 기존 모델보다 훨씬 긴 공격 단계를 수행한 것으로 평가됐다. 앤트로픽은 이를 두고 “사이버 보안의 분수령”이라고 평가했다.
성능 격차도 분명하다. 이전 AI 모델은 파이어폭스 브라우저에서 약 20개의 취약점을 찾는 수준이었다. 미토스는 같은 브라우저에서 약 300개를 찾아냈다. 전체 소프트웨어로 범위를 넓히면 수천 건의 취약점이 새로 드러난 것으로 알려졌다. 앤트로픽은 이 내역을 외부에 공개하지 않고 있다. 보완되지 않은 상태에서 알려지면 곧장 악용될 수 있다고 보기 때문이다.
위협의 본질은 AI가 아닌 활용 방식
전문가들이 우려하는 건 AI가 폭주하는 영화 같은 시나리오가 아니다. 비슷한 능력을 갖춘 AI가 해커 손에 넘어가는 순간이 진짜 문제다. 사람이 일일이 손으로 하던 해킹 작업이 자동화되고 대량 생산되기 때문이다. 강력한 모델은 다른 기업이 빠르게 모방하기 마련이다. 오픈소스 진영에서도 비슷한 능력이 시간차를 두고 등장한다. 결국 통제선을 벗어나는 건 시간 문제라는 시각이 업계 안팎에서 나온다.
앤트로픽도 이를 의식해 일반 공개 대신 폐쇄 파트너십을 택했다. ‘Project Glasswing’을 통해 Apple, Goldman Sachs, JP Morgan, Google 등 40여 곳에만 접근권을 줬다.
다만 제한 공개 방식도 완벽한 안전장치는 아니었다. 일부 무단 사용자가 미토스에 접근한 정황이 보도됐고, 앤트로픽은 조사에 들어갔다. 강력한 모델을 충분한 안전장치 없이 다루는 것이 얼마나 어려운지 보여주는 대목이다.
앤트로픽 CEO의 경고, 6~12개월의 골든타임
다리오 아모데이 앤트로픽 CEO도 강한 위기감을 드러냈다. 그는 5일 제이미 다이먼 JP모건 CEO와 가진 대담에서 시간이 많지 않다고 경고했다.
중국의 AI 모델이 자사 대비 6~12개월 뒤처져 있다는 것이 근거다. 결국 이 기간이 미토스가 찾아낸 취약점을 보완할 마지막 창이라는 뜻이다.
대응에 실패할 경우 시나리오는 무겁다. 해킹과 랜섬웨어 피해가 학교, 병원, 은행으로 번질 수 있다. 아모데이 CEO는 “브레이크가 있는지 확인하지 않고 자동차 회사를 시작할 수는 없다”라고 비유했다. AI 산업의 경쟁력은 유지하되 핵심 위험에는 안전장치를 두자는 것이 그의 입장이다. 다만 그는 비관론도 함께 경계했다. “올바르게 대응한다면 더 나은 세상을 만들 수 있다”라는 말도 잊지 않았다.
일본과 미국 금융권도 움직이기 시작했다
주요국 정부와 금융권도 대응 논의를 서두르고 있다. 일본은 4월 24일 금융 시스템의 사이버 보안 위험을 점검하기 위한 태스크포스를 꾸리기로 했다.
이 회의에는 금융청, 일본은행, 국가 사이버보안 관련 조직, 3대 메가뱅크, 일본거래소 그룹 등이 참여한 것으로 알려졌다. 카타야마 사쓰키 재무장관은 현 상황을 “이미 눈앞에 와 있는 위기”로 표현하며 금융권의 대비 필요성을 강조했다.
미국에서는 고성능 AI 모델의 공개 범위와 사전 검토 필요성을 둘러싼 논의도 이어지고 있다. 트럼프 행정부는 그동안 AI 비규제 입장을 고수해 왔다. 그러나 미토스 등장 이후 분위기가 달라졌다. 백악관은 새 AI 모델 공개 전 정부 사전 검토 절차를 논의하고 있다.
AI는 가장 강력한 방패
같은 능력은 방어 진영에서도 그대로 작동한다. Mozilla(모질라)는 미토스를 활용해 파이어폭스의 취약점을 대거 패치했다.
영국 국가사이버보안센터(NCSC) 수장 리처드 혼의 평가도 인상적이다. 그는 “미토스의 등장은 기업이 노후 기술을 교체하도록 압박하는 계기가 될 것”이라고 봤다.
금융권은 사기 거래 탐지 시스템에 AI를 본격적으로 투입하고 있다.
일반 사용자가 지금 바로 챙겨야 할 보안 습관
평범한 보안 습관이 가장 강력한 방패다. 가장 먼저 점검할 것은 링크다. 짧은 URL이나 처음 보는 도메인은 일단 의심해야 한다.
이중 인증 방식도 다시 살펴봐야 한다. SMS 문자보다 하드웨어 보안 키나 패스키가 피싱에 훨씬 강하다. 운영체제, 브라우저, 자주 쓰는 앱의 업데이트도 미루면 곤란하다.
AI 도구를 쓸 때도 보안 습관이 필요하다. 챗봇에 입력한 프롬프트는 로그로 남거나 학습에 활용될 수 있다. 주민등록번호, 카드번호, 회사 내부 자료 같은 민감 정보 입력은 피하는 것이 좋다.
마지막으로 네트워크 보안도 점검 대상이다. 카페나 공항의 공용 Wi-Fi는 자격 증명 가로채기 위험이 크다. 신뢰할 만한 VPN 추천 및 후기를 참고해 최고의 VPN을 켜두면 공용 와이파이에서 발생할 수 있는 일부 네트워크 노출 위험을 줄이는 데 도움이 된다.
결론
미토스는 종말의 신호도, 단순한 마케팅 구호도 아니다. 공격과 방어가 동시에 가속 페달을 밟고 있다는 분명한 이정표다. 이런 환경에서 안전한 사용자는 AI를 피하는 사람이 아니다. 검증된 보안 습관 위에 AI 도구를 신중하게 얹어 쓰는 사람이다. 앤트로픽의 발표가 던지는 메시지는 분명하다. 변하는 것은 도구일 뿐 원칙이 아니다.
