앤트로픽 Mythos AI가 촉발한 글로벌 사이버 보안 논쟁

연구자들이 언급한 사례에는 다음과 같은 것들이 포함된다.

• 오픈소스와 상용 소프트웨어 전반에서 발견된 수천 개의 치명적 취약점
• 널리 사용되는 운영체제와 브라우저의 보안 약점
• 자동화 도구가 놓쳤던 수십 년 된 버그 발견 사례

이 모델은 해킹 도구로 설계된 것은 아니지만, 고급 코드 분석 능력과 추론 능력 덕분에 대규모 코드베이스에서 공격 가능한 취약점을 찾아내는 데 매우 효과적이었다.

문제는 발견된 취약점의 99% 이상이 아직 패치되지 않았다는 점이다. 이런 상황에서 모델이 공개될 경우 즉각적인 악용 위험이 생길 수 있다는 이유로 앤트로픽은 공개를 제한했다.

규제 당국과 금융권의 즉각적인 대응

Mythos 발표 직후 정부와 금융권은 빠르게 움직였다.

보도에 따르면 같은 날 **미국 재무부 장관 스콧 베센트(Scott Bessent)와 연방준비제도 의장 제롬 파월(Jerome Powell)**은 주요 은행 CEO들과 비공개 긴급 회의를 열어 새로운 AI 기술이 가져올 사이버 보안 위험을 논의했다. 목적은 금융기관들이 잠재적 위협을 이해하고 방어 체계를 강화하도록 하는 것이었다.

이후 여러 은행은 보안 대응을 강화했다.

• 취약점 패치와 관리 프로그램 가속
• 오래된 레거시 시스템의 보안 노출 점검
• 패치되지 않은 소프트웨어를 겨냥한 공격 모니터링 강화

동시에 각국 정부도 강력한 AI 모델의 배포를 어떻게 관리해야 할지 논의를 시작했다. 여러 국가의 정책 담당자들은 금융기관과 기술 기업들과 협의하며 AI 시스템을 공개하기 전 안전성 평가 규칙을 검토하기 시작했다.

한편 앤트로픽은 Project Glasswing이라는 협력 프로그램을 시작해 일부 기술 기업과 보안 기관에게만 모델 접근을 허용하고, 주요 소프트웨어의 취약점을 함께 찾아 수정하는 방식으로 운영하고 있다.

“생각보다 과장됐다”는 보안 전문가들의 시각

초기 공포와 달리, 많은 사이버 보안 전문가들은 Mythos가 당장 인터넷 환경을 근본적으로 바꾸지는 않을 것이라고 본다.

2026년 5월 중순 분석에 따르면 "AI가 해킹을 무제한으로 가속할 것"이라는 초기 우려는 다소 과장된 것으로 평가됐다. 이미 기존 AI 모델과 자동화 도구도 취약점 탐지 능력을 빠르게 발전시키고 있었기 때문이다.

이러한 신중한 시각에는 몇 가지 이유가 있다.

1. 유사한 능력은 이미 존재한다

보안 연구자들은 이전의 비공개 AI 모델이나 일부 오픈소스 시스템도 취약점 발견을 돕는 기능을 갖추고 있다고 지적한다. 따라서 Mythos는 완전히 새로운 능력이라기보다 이미 진행 중이던 기술 발전을 가속한 사례일 가능성이 높다.

2. 취약점 발견만으로 해킹이 완성되지는 않는다

실제 사이버 공격은 단순히 버그를 찾는 것보다 훨씬 복잡하다. 공격자는 보통 다음 단계를 거쳐야 한다.

• 취약점이 실제로 작동하는지 검증
• 안정적인 익스플로잇(공격 코드) 제작
• 목표 시스템 접근 확보
• 네트워크 내부에서 탐지되지 않고 활동

이 과정은 여전히 높은 기술과 시간이 필요하다. 따라서 취약점 발견 자동화가 즉각적인 대규모 공격 증가로 이어지지는 않을 수 있다는 분석이다.

3. 방어 측도 같은 기술을 활용한다

AI는 공격자뿐 아니라 방어자에게도 유용하다. 보안 팀 역시 AI를 이용해 취약점을 더 빨리 찾아내고 패치할 수 있다.

일부 전문가들은 결국 이 기술이 공격과 방어 모두의 속도를 높이는 경쟁을 만들 뿐, 한쪽에만 절대적인 우위를 주지는 않을 것이라고 본다.

여전히 남아 있는 현실적 제약

AI가 취약점 발견을 크게 개선하더라도 실제 위험 수준에는 몇 가지 중요한 제한이 존재한다.

접근 제한
Mythos는 일반에 공개되지 않았다. 현재는 제한된 기술 기업과 보안 기관만 접근할 수 있다.

높은 컴퓨팅 비용
최첨단 AI 모델은 훈련과 실행에 막대한 컴퓨팅 자원이 필요하다. 이는 간단한 해킹 도구처럼 빠르게 확산되는 것을 어렵게 만든다.

기술 확산까지의 짧은 시간
일부 분석가들은 이러한 접근 제한이 오래 지속되지는 않을 것이라고 본다. 오픈소스 모델과 기존 시스템이 빠르게 발전하면서 비슷한 능력을 재현할 가능성이 있기 때문이다.

이러한 요소들 때문에 Mythos의 영향은 갑작스러운 "AI 해킹 시대"라기보다는 점진적인 변화로 나타날 가능성이 크다.

핵심 논쟁: ‘속도 변화’인가 ‘게임 체인저’인가

대부분 전문가들이 동의하는 점은 하나다. AI가 소프트웨어 분석과 취약점 발견에서 강력한 도구가 되고 있다는 사실이다.

그러나 의견이 갈리는 부분은 이 변화가 얼마나 혁신적인가다.

• 비판적인 시각: AI가 취약점 발견과 악용 사이의 시간을 크게 줄여 금융 시스템이나 중요 인프라에 위험을 높일 수 있다.
• 회의적인 시각: 기술은 속도와 규모를 키울 뿐, 사이버 공격의 기본 구조 자체를 바꾸지는 않는다.

결국 Mythos 사례는 더 큰 질문을 던진다. 강력한 AI 기술이 등장했을 때 정부와 기업은 이를 막는 대신 누가 접근할 수 있는지 통제하고 방어적 활용을 확대하는 방식으로 관리해야 하는가 하는 문제다.

단순한 모델 프리뷰로 시작된 사건이 이제는 AI 시대의 사이버 보안 전략을 시험하는 사례가 되고 있다.