Anthropic의 Mythos AI가 공개되지 않은 이유: 정부와 금융권이 긴장하는 사이버 보안 위험

이 프로젝트에는 AWS, Apple, Google, Microsoft, CrowdStrike, Palo Alto Networks 같은 주요 기술 기업과 보안 조직이 참여하고 있다.

목표는 단순하다.

AI가 대규모로 취약점을 발견할 수 있다면, 그 능력은 방어에도 공격에도 동시에 사용될 수 있기 때문이다.

따라서 Anthropic은 신뢰할 수 있는 보안 기관과 기업에 먼저 접근 권한을 제공해 취약점을 찾아 패치와 방어를 우선적으로 진행하도록 하는 전략을 택했다.

이 접근 방식은 업계에서 흔히 말하는 **‘defense‑first(방어 우선) 배포 전략’**으로 설명된다.

정부와 금융권이 민감하게 반응한 이유

Mythos의 등장 이후 정부 기관과 금융 규제기관도 상황을 주시하고 있다.

미국에서는 AI가 사이버 공격 능력을 크게 높일 수 있다는 우려 때문에 정책 당국이 기술 기업들에 추가 정보를 요구한 것으로 알려졌다.

금융 규제기관 역시 관심을 보이고 있다. 은행과 결제 시스템이 의존하는 소프트웨어에 취약점이 발견될 경우 금융 시스템 전체가 영향을 받을 수 있기 때문이다. 일부 보고에서는 규제기관이 주요 은행들과 관련 논의를 진행했다고 전해진다.

국제기구도 우려를 나타냈다. **국제통화기금(IMF)**은 이러한 고급 AI가 소프트웨어 방어 체계를 돌파할 가능성을 언급하며 글로벌 금융 인프라에 대한 시스템 리스크가 될 수 있다고 경고했다.

동시에 정보기관과 사이버 보안 당국은 이런 도구가 사이버 방어뿐 아니라 공격 작전에도 영향을 줄 수 있는지 분석하고 있다.

AI가 사이버 위험의 속도를 바꾸는 이유

보안 전문가들이 특히 주목하는 것은 시간의 변화다.

전통적으로 복잡한 소프트웨어에서 심각한 취약점을 찾는 작업은 몇 달에서 몇 년이 걸리기도 했다. 자동화된 테스트 도구가 등장했지만 여전히 인간 연구자의 분석이 중요한 역할을 했다.

그러나 AI가 스스로 코드베이스를 탐색하고 취약점을 찾아 실제 공격 코드까지 생성할 수 있다면, 다음 세 단계 사이의 시간이 크게 줄어들 수 있다.

• 취약점 발견
• 공격 도구 개발
• 대규모 공격 실행

보안 업계에서는 이를 **‘사이버 위험 주기(cyber‑risk cycle)의 단축’**이라고 부른다.

초기 보안 사건과 남아 있는 질문

모델이 제한적으로 운영되고 있음에도 우려는 완전히 사라지지 않았다.

2026년 4월에는 한 소규모 그룹이 제3자 공급업체 시스템을 통해 Mythos 미리보기 환경에 무단 접근한 사건이 보고되기도 했다. 이 사건은 Anthropic의 내부 시스템이 직접 침해된 것은 아니었다.

현재까지 공개된 정보만으로는 몇 가지 핵심 질문이 여전히 남아 있다.

• 실제로 발견된 취약점의 정확한 수
• 발견된 취약점을 공격 코드로 전환하는 성공률
• 유사한 AI 능력이 이미 다른 국가나 연구소에도 존재하는지 여부

이 때문에 Mythos에 대한 일부 주장들은 아직 완전히 독립적으로 검증되었다고 보기는 어렵다.

더 큰 의미: AI 사이버 경쟁의 시작

그럼에도 보안 전문가들 사이에서는 한 가지 공통된 인식이 형성되고 있다.

AI는 앞으로 사이버 보안에서 가장 강력한 도구가 될 가능성이 높다. 그리고 그 영향은 방어와 공격 양쪽에 동시에 나타날 수 있다.

Anthropic이 Mythos를 공개하지 않고 Glasswing 같은 제한적 연합을 통해 배포한 결정은 이런 현실을 반영한다. 무제한 공개가 이루어질 경우 사이버 공격 규모가 급격히 커질 수 있다는 우려 때문이다.

결국 Project Glasswing이 목표대로 작동할지—즉 AI를 이용해 공격자보다 먼저 취약점을 찾아 방어할 수 있을지—는 앞으로 차세대 AI 시스템이 어떻게 공개되고 규제될지를 결정하는 중요한 시험대가 될 가능성이 있다.