[뉴스스페이스=김정영 기자] 앤트로픽이 지난 4월 7일 공개한 AI 모델 'Mythos'가 전 세계 금융 시스템에 경종을 울린 지 6주가 지난 지금, 사이버보안 전문가들 사이에서 이 모델의 위협이 과장됐다는 평가가 나오고 있다. 로이터는 Mythos가 사이버 공격을 극적으로 가속화할 것이라는 초기 우려가 지나쳤다고 보도했다.
앤트로픽은 4월 7일, 방어적 사이버보안 업무를 위해 약 40개 기관에 접근 권한을 부여하는 통제된 프로그램인 '프로젝트 글래스윙(Project Glasswing)'의 일환으로 Mythos Preview를 공개했다. 회사 측은 이 모델이 주요 운영체제 및 웹 브라우저에서 수십 년 전으로 거슬러 올라가는 것들을 포함해 "수천 건의 제로데이 취약점"을 발견할 수 있다고 설명했다.
전 세계 금융권 비상 대응
Mythos의 등장은 즉각적인 글로벌 위기 대응을 촉발했다. 영란은행(BoE) 총재 앤드루 베일리(Andrew Bailey)는 앤트로픽에 금융 시스템 위협에 대한 직접 브리핑을 요청했으며, "앤트로픽이 전체 사이버 위험 세계를 열어젖힐 방법을 찾아냈을 수 있다"고 경고했다. 독일 연방은행은 유럽 은행들이 AI 기반 공격에 대비하기 위해 Mythos에 접근해야 한다고 촉구했고, 호주 금융 규제 당국도 즉각적인 조치를 요구했다.
미국에서는 연방준비제도(Fed)와 재무부가 주요 은행 CEO들을 소집해 긴급 회의를 열었으며, 사이버보안 당국은 취약점 패치 기한을 기존 3주에서 3일로 단축하는 방안을 검토했다. Mythos에 접근 권한을 가진 미국 은행들은 수백에서 수천 건의 취약점을 발견했고, 기존에 몇 주 걸리던 문제를 며칠 만에 해결하기도 했다.
"기존 모델로도 동일 취약점 발견 가능"
그러나 사이버보안 전문가들은 Mythos의 능력이 독보적이지 않다고 반박했다. CNBC 보도에 따르면, 여러 보안 업체들이 더 오래되고 저렴한 모델, 심지어 오픈소스 모델로도 Mythos가 식별한 취약점을 재현할 수 있음을 입증했다. 사이버보안 기업 watchTowr의 CEO 벤 해리스(Ben Harris)는 "공개 모델을 영리하게 조작하면 Mythos가 발견한 취약점과 현저히 유사한 결과를 얻을 수 있다"고 말했다.
시스코(Cisco)의 최고정보보안책임자(CISO) 자야 발루(Jaya Baloo)는 블룸버그 TV 인터뷰에서 자사가 2025년 8월부터 AI를 활용해 취약점을 탐지해 왔으며, 소규모 오픈소스 모델로도 동일한 결함을 찾아낼 수 있다고 밝혔다. 그는 "독점 AI 모델이 사이버보안에서 독보적 우위를 점한다는 생각은 시대에 뒤떨어진 것"이라며 "더 작고 접근 가능한 오픈소스 대안이 빠르게 격차를 좁히고 있다"고 강조했다.
앤트로픽은 이전 모델들이 소프트웨어 취약점을 식별할 수 있다는 주장을 반박하지 않았으며, 대신 자사의 이전 Opus 모델이 이미 오픈소스 소프트웨어에서 500개 이상의 고위험 취약점을 발견했다는 2월 블로그 게시물을 언급했다.
제한적 접근과 실제 성능
앤트로픽은 Mythos Preview를 '프로젝트 글래스윙(Project Glasswing)'이라는 통제된 프로그램을 통해 약 40개 기관에만 제공하고 있다. Amazon, Apple, Microsoft, Google, Nvidia, Cisco, JPMorgan Chase 등이 초기 접근 권한을 받았으며, 회사는 모델 사용권으로 최대 1억 달러(약 1,400억원) 상당을 제공하고 오픈소스 보안 그룹에 총 400만 달러(약 56억원)를 기부할 계획이다.
영국 AI 보안 연구소(AISI)의 평가에 따르면, Mythos Preview는 전문가 수준의 작업에서 73%의 성공률을 기록했다. 이는 2024년 4월 이전까지 어떤 모델도 완수하지 못했던 수준이다. 내부 테스트에서는 83% 이상의 경우 첫 시도에서 작동하는 익스플로잇을 생성했다고 보고됐다.
앤트로픽은 Mythos가 OpenBSD에서 27년 된 버그, FFmpeg에서 16년 된 결함, 메모리 안전 가상머신 모니터의 메모리 손상 취약점 등 주요 운영체제와 웹 브라우저에서 수천 건의 고위험 제로데이 취약점을 발견했다고 밝혔다. 그러나 AISI는 "Mythos Preview가 약한 보안 태세를 가진 시스템을 공격할 수 있지만, 잘 방어된 시스템을 공격할 수 있는지는 확실하지 않다"고 지적했다.
일시적 장벽, 지속되는 우려
Mythos Preview는 상업적으로 출시되지 않았으며, 앤트로픽은 "대중에게 공개할 계획이 없다"고 밝혔다. 다만 회사는 최근 제한을 완화해 파트너사들이 외부 기관과 취약점 발견 사항을 공유할 수 있도록 허용했다. 모델의 높은 컴퓨팅 요구 사항이 현재로서는 접근성을 제한하고 있으나, 전문가들은 이러한 장벽이 일시적일 것이라고 경고한다.
watchTowr의 해리스는 "핵심은 AI가 취약점을 더 빨리 찾는다는 것이 아니라, 발견과 해결 사이의 격차를 관리하기가 훨씬 어려워질 것"이라며 "한 모델이 독보적인 능력을 갖췄는지 여부보다 더 광범위한 추세가 중요하다. 프론티어 AI가 취약점 발견을 더 확장 가능하고 반복 가능하며 접근 가능하게 만들고 있다는 점이 사이버 위험의 경제학을 바꾸고 있다"고 지적했다.
