ECB, 은행권 긴급 소집… "AI가 수십 년 묵은 치명적 취약점 찾아내, 더 이상 미룰 시간 없다"

ECB의 3단계 비상 대응 전략

2026년 5월 26일, ECB는 클로드 미토스 프리뷰 및 유사한 고사양 AI 모델이 드러낸 사이버보안 위험을 해결하기 위해 은행들과 특별 회의를 소집했다 . 이 회의에서 제시된 규제 접근 방식은 세 가지 즉각적인 요구를 중심으로 명확히 구체화되었다.

더 빠르게, 그리고 변명 없이 패치하라. ECB 감독위원회 부의장 프랭크 엘더슨(Frank Elderson)은 은행들에 "시간이 얼마 남지 않았다(the clock is ticking)"라고 경고하며, 해당 모델이 드러낸 결함을 고치기 위해 보안 노력을 "대폭 가속화(significantly accelerate)"해야 한다고 촉구했다 . 그는 이것이 "이미 노출된 결함을 해결하기 위한" 긴급한 작업이라고 표현했다 .

알고 있는 정보를 공유하라. 유럽 은행들이 이 모델을 시험하는 제한된 컨소시엄에서 대부분 배제되어 있기 때문에, ECB는 접근 권한을 가진 미국 은행들이 유럽의 동종 업계와 그 통찰력을 공유해 줄 것을 요청했다. 엘더슨 부의장은 이러한 상황이 "유감(unfortunate)"이라고 표현하면서도, "모델에 대한 접근 부족이 행동하지 않는 변명이 되어서는 안 된다"고 강조했다 .

감독 당국의 질문에 답하라. ECB는 정례 감독 대화(supervisory dialogue)를 활용해 AI 기반 사이버 위협에 대한 은행들의 준비 상태를 체계적으로 점검하며, 위협 노출 수준, 패치 주기, 방어 도구 등에 관한 정보를 수집하고 있다 . 이는 미국 재무부가 발행한 것과 같은 세간의 이목을 끄는 소환장과는 성격이 다르지만, 국제적으로 조율된 규제 조치의 흐름과 맥을 같이 한다 .

이러한 긴박함은 실질적인 검증 결과로 뒷받침된다. 영국 AI 안전 연구소(AISI)는 미토스 프리뷰가 전문가 수준의 CTF(Capture the Flag) 해킹 방어 대회 문제 중 73%를 해결했으며, 이는 2025년 4월 이전까지 어떤 AI 모델도 통과하지 못했던 벤치마크라고 밝혔다. 모질라는 이 모델이 발견한 271개의 취약점을 패치한 파이어폭스 150을 출시하기도 했다 .

클로드 미토스 프리뷰가 실제로 찾아낸 것들

발견된 취약점은 이론적 가능성에 그치지 않는다. 통제된 평가 기간 내에 이 모델은 고위험군 취약점 수천 건을 자율적으로 식별하고 작동하는 익스플로잇을 생산했는데, 여기에는 어떤 인터넷 공격자에게나 인증되지 않은 루트 접근을 허용하는 FreeBSD NFS 서버의 17년 묵은 원격 코드 실행 결함, 그리고 인간 감시관들을 수십 년간 속여온 OpenBSD의 27년 묵은 충돌 취약점 등이 포함된다 .

그 범위는 특정 벤더에 국한되지 않고 시스템 전반에 걸쳐 있다. 모든 주요 운영체제와 웹 브라우저가 영향을 받았다 . 발견된 취약점의 99% 이상이 아직 패치되지 않아, 금융권의 레거시 기술 인프라 전반에 걸쳐 광범위한 공격 표면이 그대로 노출되어 있는 상태다 .

모델의 공격 역량은 수동적 탐지를 뛰어넘는다. 평가 기간 동안 실제 작동하는 개념 증명(PoC)을 통해 주요 소프트웨어에 존재하는 치명적 결함들의 공격 경로를 자율적으로 시연했다 . 사이버보안 전문가들은 이제 이 모델이 은행 산업과 그 기존 기술 시스템에 중대한 도전 과제를 제기하고 있다고 평가한다 .

유럽이 눈이 가려진 채 싸워야 하는 이유

유럽 기관들이 직면한 가장 극심한 도전은 단순히 취약점의 존재뿐만 아니라, 이를 찾아낸 도구에 대한 접근성 자체가 비대칭적이라는 점이다. Anthropic은 클로드 미토스 프리뷰의 공개를 제한하고, 방어적 사이버보안 용도를 우선시하는 프로젝트 글래스윙(Project Glasswing)을 통해 접근 방식을 구조화했다. 그러나 그 대상은 AWS, 구글 클라우드, CrowdStrike 등 주로 미국 기술 기업들로 구성된 컨소시엄으로 한정되어 있다 .

유럽 은행, 규제 기관, 그리고 사이버보안 기업들은 대부분 여기서 배제되어 있다. 이들은 똑같은 AI 성능으로 독립적으로 조사하거나 검증할 수 없는 결함들을 자체적으로 해결해야 한다 . 이는 접근 권한을 가진 공격자는 취약점을 악용할 수 있지만 유럽의 방어자들은 그것을 쉽게 분석하거나 재현하기 어려운 '방어적 비대칭성(defensive asymmetry)'을 야기한다.

이러한 규제적 공백은 EU 정책 입안자들에게 특히 실망스러운 대목이다. ECB와 유럽의회는 답변과 조치를 촉구하고 있지만, 미국에 기반을 둔 컨소시엄 멤버들이 누리는 직접적인 기술 접근 권한이 부족하여 감독 및 독립적인 위험 평가마저 복잡해지고 있다 . 독일 은행 협회(BdB)는 S&P 글로벌 마켓 인텔리전스에 회원 은행 및 연방 재무부, 금융감독청(BaFin), 독일 중앙은행, 그리고 유럽 및 국제 기구들과 '지속적 대화(continuous dialogue)'를 하고 있다고 밝혔지만, 그러한 관여는 선제적이기보다는 사후 대응적인 수준에 머물러 있다 .

Anthropic은 프로젝트 글래스윙의 결과를 90일 이내에 공개적으로 보고하겠다고 약속했으며, 업계는 이 정보 공개를 예의주시하고 있다 . 그때까지 유럽 규제 기관들은 긴급한 작전적 위협과 손에 닿지 않는 도구 사이에 끼어, 은행들에게 아직 완전히 보이지도 않는 적을 상대로 더 빠른 패치를 적용하라고 요구할 수밖에 없는 실정이다.