Claude Mythos가 촉발한 글로벌 사이버보안 비상 대응

이러한 특성 때문에 AI가 단순한 개발 도구나 보안 분석 도구를 넘어 사이버 공격과 방어 모두에 참여하는 ‘행위자’가 될 수 있다는 우려가 커지고 있다.

일본의 대응: 금융 시스템 보호 중심의 긴급 조치

일본은 특히 금융 시스템을 중심으로 빠르게 대응에 나섰다.

• 일본 재무장관 가타야마 사쓰키는 Mythos와 관련된 사이버 위험에 대응하기 위해 긴급 태스크포스를 설치한다고 발표했다.
• 일본 금융당국은 은행, 기술기업, 정책기관이 함께 참여하는 민관 워킹그룹을 구성해 AI 기반 사이버 위협을 분석하고 대응 전략을 마련하고 있다.
• 일본 정부 지도부는 AI 기술 발전에 따른 보안 위험을 이유로 정부 기관에 신속한 사이버 보안 조치 시행을 지시했다.

금융권이 특히 민감한 이유는 복잡한 글로벌 소프트웨어 시스템에 의존하기 때문이다. 만약 AI가 대규모 취약점을 빠르게 발견한다면 금융 시스템 전반에 연쇄적인 영향을 줄 수 있다.

한국의 전략: 기술 정보 확보에 집중

한국 정부는 접근 방식이 조금 다르다. 핵심은 AI 기술 자체에 대한 정보 접근이다.

정부 관계자들에 따르면 한국은 미국 중심의 기술 협력 프로젝트에서 Mythos 관련 보안 정보를 확보하는 방안을 검토하고 있다.

이는 Project Glasswing이라는 협력 프로그램에서 발견되는 취약점 데이터를 조기에 공유받아 국내 시스템을 미리 보호하려는 전략이다.

한국 보안 전문가들 사이에서는 이 상황을 **“Mythos 쇼크”**라고 부르기도 한다. AI가 단순히 취약점을 분석하는 수준을 넘어 실제 공격 수행 능력까지 갖출 수 있다는 우려 때문이다.

미국의 대응: 정부·의회·기업 협력 강화

미국에서는 정부와 기술 기업 사이의 협력과 정보 공유가 중심이 되고 있다.

• 백악관은 AI 기반 사이버 공격 가능성에 대응하기 위해 주요 기술 기업들로부터 관련 정보를 요청했다.
• Anthropic을 포함한 AI 기업들은 의회 관계자들에게 AI 사이버 위협에 대해 비공개 브리핑을 진행했다.
• 미 상원 정보위원회 지도부 등 일부 의원들은 Project Glasswing 같은 협력 프로그램의 중요성을 강조하고 있다.

현재까지 미국의 대응은 새로운 법 제정보다는 평가와 협력 체계 구축에 초점이 맞춰져 있다. 기술 발전 속도가 매우 빠르기 때문이다.

Project Glasswing: 제한 공개 전략

Anthropic은 Mythos를 일반 공개하지 않고 Project Glasswing이라는 제한된 프로그램을 통해 일부 조직에만 접근 권한을 제공하고 있다.

이 프로젝트에는 클라우드 기업, 반도체 기업, 보안 회사 등 주요 기술 기업들이 참여해 중요 소프트웨어 시스템의 취약점을 공동으로 찾고 수정하는 작업을 진행한다.

핵심 목표는 간단하다.

AI가 공격에 활용되기 전에, 같은 AI를 이용해 먼저 취약점을 찾아 고치는 것.

그러나 여기에는 근본적인 딜레마가 있다.

AI가 취약점을 더 빠르게 찾아 보안을 강화할 수도 있지만, 동일한 능력이 공격자에게 넘어갈 경우 취약점을 기계 속도로 찾아내고 공격하는 새로운 사이버 위협이 될 수도 있기 때문이다.

시작된 ‘AI 사이버 보안 군비 경쟁’

Claude Mythos는 사이버보안 전략의 중요한 전환점을 보여준다.

과거에는 보안 연구자들이 공격자보다 먼저 취약점을 찾아 패치할 시간을 확보하는 것이 핵심이었다. 하지만 AI가 소프트웨어 전체를 매우 빠르게 분석할 수 있다면 그 시간 우위 자체가 사라질 수 있다.

그래서 각국 정부는 태스크포스, 정보 공유 네트워크, 산업 협력 프로젝트 등을 서둘러 구축하고 있다.

Project Glasswing 역시 그 대응 중 하나다. AI 시대의 사이버 보안 경쟁에서 방어 측이 먼저 움직일 수 있도록 하려는 시도다.

문제는 아직 풀리지 않았다.

AI가 전 세계 소프트웨어를 인간보다 훨씬 빠르게 분석할 수 있다면, 앞으로의 사이버 전장은 AI가 공격하고 AI가 방어하는 새로운 경쟁 환경으로 빠르게 바뀔 가능성이 크다.