한 ai 모델이 27년 된 버그를 찾아냈다 — 그리고 한 달 만에 모델이 코드가 사이버 공격으로 세 번 새어 나갔다
'보안계의 핵폭탄'이라는 별명
숫자 하나를 먼저 두고 보자. 271건. 모질라가 자사 브라우저 파이어폭스 150에서 발견한 보안 취약점의 수다. 같은 해 2월, 이전 모델인 클로드 오퍼스 4.6이 파이어폭스 148에서 찾아낸 취약점은 22건이었다. 한 세대 만에 12배가 늘었다.
이 일을 해낸 모델이 앤트로픽(Anthropic)의 비공개 차세대 AI, 클로드 미토스(Claude Mythos)다. 2026년 4월 7일 프리뷰 형태로 발표됐고, 공개 직후부터 업계는 이 모델에 '보안 핵폭탄'이라는 별명을 붙였다. 별명에는 두 가지 의미가 동시에 들어 있다. 위력이 그만큼 크다는 것. 그리고 잘못 다루면 그만큼 위험하다는 것.
미토스는 정확히 무엇이 다른가
미토스의 차별점은 단순히 '취약점을 빨리 찾는다'에 있지 않다. 핵심은 세 가지다. 자율적 추론, 취약점 체이닝(vulnerability chaining), 그리고 공격 시나리오 설계 능력.
기존 모델이 알려진 취약점 패턴을 매칭하거나 코드의 한 부분을 보조 분석하는 수준이었다면, 미토스는 약한 신호 여러 개를 엮어 실제 공격 경로를 구성한다. 앤트로픽은 미토스가 27년 된 OpenBSD 버그, 16년 된 FFmpeg 취약점을 자율 식별했고, 리눅스 커널의 개별 결함 3~4개를 연결해 권한 상승과 시스템 장악으로 이어지는 공격 사슬을 스스로 구성했다고 밝혔다. 소스코드 없이도 컴파일된 바이너리만으로 취약점 분석이 가능하다는 점은 레거시 환경에 특히 치명적이다.
전문가 평가와의 일치율도 무시하기 어렵다. 모델이 분류한 취약점 심각도는 전문 보안 컨설턴트의 평가와 89%가 일치했고, 98%는 오차 한 단계 이내였다. "취약점을 찾아달라"는 단순 프롬프트 한 줄에 코드 분석부터 디버깅 로직 추가, 가설 검증, 최종 보고서 작성까지 자율적으로 진행된다. 사람의 개입이 거의 없다.
이 능력은 의도된 것이 아니었다. 보안을 위해 별도로 학습시킨 결과가 아니라, 코딩과 추론, 자율성 전반의 일반적인 향상이 만들어낸 부산물에 가깝다는 것이 앤트로픽의 설명이다. 그래서 더 두렵게 받아들여졌다.
그래서 왜 닫아두었나
앤트로픽은 미토스를 일반에 공개하지 않았다. 약 40개 협력 기업에만 '프로젝트 글래스윙(Project Glasswing)'이라는 비공개 프로그램을 통해 제한적으로 제공했다. 명단에는 AWS, 애플, 시스코, 구글, 마이크로소프트, NVIDIA, 팔로알토 네트웍스, JP모건체이스, 크라우드스트라이크가 들어 있고, 비공개로 미국 국가안보국(NSA)도 참여 중인 것으로 알려졌다. 1억 달러 규모의 사용 크레딧과 400만 달러의 오픈소스 보안 지원금까지 묶였다.
이유는 단순하다. 같은 능력이 방어자에게 가면 '터널 끝의 빛'이지만 공격자에게 가면 '패치보다 빠른 익스플로잇'이 되기 때문이다. 보안 훈련을 받지 않은 일반 엔지니어가 이 모델로 하룻밤 사이에 원격 코드 실행(RCE) 익스플로잇을 개발할 수 있는 수준이라는 평가가 나왔다. 진입장벽이 무너진다는 뜻이다.
그리고 새어 나갔다
문제는 닫아두는 것만으로는 충분하지 않았다는 데 있다. 미토스 발표 이후 한 달 동안 앤트로픽은 세 번의 보안 사고를 겪었다.
첫째, 3월 26일 CMS 설정 오류. 약 3,000개의 미발행 자산이 암호화되지 않은 공개 데이터 캐시에 노출됐다. 미토스의 존재 자체가 이 사고로 외부에 처음 알려졌다. 둘째, 클로드 코드(Claude Code) 소스 노출. NPM에 컴파일 버전만 올려야 했는데 원본 소스 약 50만 줄, 1,900개 파일이 통째로 공개됐다. 셋째, 4월 21일 미토스 프리뷰 무단 접속. 블룸버그 보도에 따르면 미공개 AI 모델 정보를 공유하는 디스코드(Discord) 그룹 일부가 미토스 공개 당일부터 이미 접근에 성공해 정규적으로 사용해 온 정황이 포착됐다. 이들은 스크린샷과 실시간 시연 자료까지 보유하고 있었다.
앤트로픽은 "제3자 벤더 환경에서 발생한 사고이며 핵심 로직과 가중치는 보호되고 있다"고 해명했지만, 영국 파이낸셜타임스(FT)는 "기업가치 3,800억 달러의 AI 연구소가 자신이 만든 기술을 악의적 행위자의 손에 들어가지 않게 보호할 수 있는지에 대한 의문이 제기됐다"고 평가했다. 사고 경로가 모두 외부 협력사·플랫폼이라는 점도 의미심장하다. AI 시대의 약한 고리는 모델 자체가 아니라 그것을 둘러싼 공급망일 수 있다는 신호다.
악용 시나리오는 추상적이지 않다
가장 자주 인용되는 우려는 '패치 속도가 익스플로잇 속도를 따라가지 못한다'는 것이다. 한 보고서는 이를 두고 보안 업데이트 주기를 '주(week) 단위'에서 '시간(hour) 단위'로 단축해야 한다고까지 적었다. 비현실적으로 들리지만, 미토스가 실제로 한 달 안에 발견한 취약점 수를 감안하면 과장이 아니다.
더 구체적인 우려는 이미 사례로 존재한다. 앤트로픽은 자체 보고서에서 중국 국가 지원 해킹 그룹이 회사가 탐지하기 전까지 클로드 코드를 사용해 약 30개 조직 — 기술기업, 금융기관, 정부기관 — 에 침투를 시도하는 캠페인을 운영했다고 밝힌 바 있다. 미토스보다 약한 모델로도 이미 일어난 일이다. 미토스급 모델이 통제 밖으로 나간다면 어떨까. 이것이 미국 재무부와 연방준비제도(Fed)가 한때 앤트로픽 서비스 사용 중단을 검토했다가 오히려 미토스 접근 권한 확보 협의로 방향을 튼 이유다. 한국 정부도 "미토스 주의보"를 발령하며 안보실 차원의 민관군 긴급 대응을 주문했다.
앤트로픽은 후속 모델인 클로드 오퍼스 4.7을 발표하면서 "미토스 프리뷰 대비 사이버 보안 역량을 의도적으로 낮췄다"고 밝혔다. 같은 회사가 자신의 신모델을 두고 "이전 모델보다 약하게 만들었다"고 광고해야 하는 상황. AI 업계에서 이런 일은 처음이다.
냉정하게 봐야 할 것들
다만 한쪽으로만 정리할 사안은 아니다. 우선 미토스의 성과 상당수는 외부 독립 검증이 충분히 끝나지 않은 상태이고, 발견된 취약점도 책임공개(Coordinated Vulnerability Disclosure) 절차상 비공개로 묶인 것이 많다. 앤트로픽의 발표를 그대로 확정 사실로 받아들이는 것은 성급하다.
또한 미토스 같은 도구는 본질적으로 '먼저 쓴 쪽'이 유리한 비대칭적 무기다. 모질라 최고기술책임자가 "당장은 두렵지만 결국 방어자에게 희소식"이라고 표현한 이유가 여기 있다. 공격자는 한 건의 제로데이를 위해 수개월의 시간과 비용을 투입할 수 있지만, 방어자는 그 비용을 감당하기 어려워 기계에 의존할 수밖에 없는 구조였다. 이 격차를 AI가 메우면 공격 측의 장기적 우위는 오히려 약해진다는 논리다. 271건이라는 숫자가 무서운 게 아니라, 그 271건을 '방어자가 먼저 찾았다'는 사실이 핵심이라는 관점도 같은 맥락이다.
눈여겨 봐야 하는 지점
이 풍경에서 한국이 놓치면 안 되는 지점이 몇 가지 있다.
첫째, 보안을 보는 눈이 달라져야 한다. 지금까지는 '이 취약점은 위험도 몇 점짜리'라는 식의 점수표를 보고 위험한 것부터 막는 방식이었다. 미토스 같은 도구는 그렇게 일하지 않는다. 한 번에 하나씩 보지 않고, 작은 결함 여러 개를 묶어 큰 구멍을 만든다. 그래서 한 건 한 건의 점수보다 '이 결함들이 서로 연결되면 어디까지 갈 수 있는가'를 봐야 한다. 정상 계정으로 정상적인 절차를 밟는 척하며 안쪽까지 들어오는 공격이 이제 표준이 된다.
둘째, 우리 회사만 잘 지킨다고 안전하지 않다. 미토스 사고 세 건이 모두 앤트로픽 본체가 아니라 외부 협력사와 외부 플랫폼에서 났다는 사실이 핵심이다. 우리가 쓰는 클라우드, 우리가 깔아둔 라이브러리, 우리에게 외주로 일하는 업체 — 이들 중 한 곳만 뚫려도 우리 시스템이 같이 뚫린다. '한 번 들여보낸 다음에는 믿는다'가 아니라 '매번 다시 확인한다'는 원칙으로 갈아타야 한다는 얘기가 그래서 나온다.
셋째, 명단 안에 들어가야 한다. 앤트로픽이 미토스를 미리 쥐여준 약 40개 협력사 명단에 한국 기업은 한 곳도 없다. 류제명 과학기술정보통신부 제2차관은 4월 22일 코엑스 월드IT쇼에서 "앤트로픽, 오픈AI와 보안 협의를 진행 중"이라고 밝혔지만 가시적 단계는 아직이다. 이 명단에 들어가느냐 마느냐가 단순한 자존심 문제가 아니다. 들어가지 못하면 우리 인프라의 약점을 우리보다 다른 나라의 AI가 먼저 알게 된다.
다시 그 271이라는 숫자
271건의 취약점이 한 브라우저 안에서 발견됐다는 사실은 두 가지를 동시에 의미한다. 우리가 매일 사용하는 소프트웨어 안에 그만큼의 약점이 숨어 있었다는 것. 그리고 그것을 찾아낼 수 있는 도구가 이제 만들어졌다는 것.
문제는 그 도구가 누구의 손에 먼저 가느냐다. 닫아두면 새어 나가고, 열어두면 악용된다. 어느 쪽도 정답이 아니라는 사실 자체가 미토스가 태풍의 눈이 된 진짜 이유다. AI는 더 이상 코드를 짜주는 비서가 아니다. 코드를 부수는 도구이기도 하다는 사실 — 우리는 이제 그 위에서 사이버 안보를 다시 설계해야 한다.
한 ai 모델이 27년 된 버그를 찾아냈다 — 그리고 한 달 만에 모델이 코드가 사이버 공격으로 세 번 새어 나갔다
'보안계의 핵폭탄'이라는 별명
숫자 하나를 먼저 두고 보자. 271건. 모질라가 자사 브라우저 파이어폭스 150에서 발견한 보안 취약점의 수다. 같은 해 2월, 이전 모델인 클로드 오퍼스 4.6이 파이어폭스 148에서 찾아낸 취약점은 22건이었다. 한 세대 만에 12배가 늘었다.
이 일을 해낸 모델이 앤트로픽(Anthropic)의 비공개 차세대 AI, 클로드 미토스(Claude Mythos)다. 2026년 4월 7일 프리뷰 형태로 발표됐고, 공개 직후부터 업계는 이 모델에 '보안 핵폭탄'이라는 별명을 붙였다. 별명에는 두 가지 의미가 동시에 들어 있다. 위력이 그만큼 크다는 것. 그리고 잘못 다루면 그만큼 위험하다는 것.
미토스는 정확히 무엇이 다른가
미토스의 차별점은 단순히 '취약점을 빨리 찾는다'에 있지 않다. 핵심은 세 가지다. 자율적 추론, 취약점 체이닝(vulnerability chaining), 그리고 공격 시나리오 설계 능력.
기존 모델이 알려진 취약점 패턴을 매칭하거나 코드의 한 부분을 보조 분석하는 수준이었다면, 미토스는 약한 신호 여러 개를 엮어 실제 공격 경로를 구성한다. 앤트로픽은 미토스가 27년 된 OpenBSD 버그, 16년 된 FFmpeg 취약점을 자율 식별했고, 리눅스 커널의 개별 결함 3~4개를 연결해 권한 상승과 시스템 장악으로 이어지는 공격 사슬을 스스로 구성했다고 밝혔다. 소스코드 없이도 컴파일된 바이너리만으로 취약점 분석이 가능하다는 점은 레거시 환경에 특히 치명적이다.
전문가 평가와의 일치율도 무시하기 어렵다. 모델이 분류한 취약점 심각도는 전문 보안 컨설턴트의 평가와 89%가 일치했고, 98%는 오차 한 단계 이내였다. "취약점을 찾아달라"는 단순 프롬프트 한 줄에 코드 분석부터 디버깅 로직 추가, 가설 검증, 최종 보고서 작성까지 자율적으로 진행된다. 사람의 개입이 거의 없다.
이 능력은 의도된 것이 아니었다. 보안을 위해 별도로 학습시킨 결과가 아니라, 코딩과 추론, 자율성 전반의 일반적인 향상이 만들어낸 부산물에 가깝다는 것이 앤트로픽의 설명이다. 그래서 더 두렵게 받아들여졌다.
그래서 왜 닫아두었나
앤트로픽은 미토스를 일반에 공개하지 않았다. 약 40개 협력 기업에만 '프로젝트 글래스윙(Project Glasswing)'이라는 비공개 프로그램을 통해 제한적으로 제공했다. 명단에는 AWS, 애플, 시스코, 구글, 마이크로소프트, NVIDIA, 팔로알토 네트웍스, JP모건체이스, 크라우드스트라이크가 들어 있고, 비공개로 미국 국가안보국(NSA)도 참여 중인 것으로 알려졌다. 1억 달러 규모의 사용 크레딧과 400만 달러의 오픈소스 보안 지원금까지 묶였다.
이유는 단순하다. 같은 능력이 방어자에게 가면 '터널 끝의 빛'이지만 공격자에게 가면 '패치보다 빠른 익스플로잇'이 되기 때문이다. 보안 훈련을 받지 않은 일반 엔지니어가 이 모델로 하룻밤 사이에 원격 코드 실행(RCE) 익스플로잇을 개발할 수 있는 수준이라는 평가가 나왔다. 진입장벽이 무너진다는 뜻이다.
그리고 새어 나갔다
문제는 닫아두는 것만으로는 충분하지 않았다는 데 있다. 미토스 발표 이후 한 달 동안 앤트로픽은 세 번의 보안 사고를 겪었다.
첫째, 3월 26일 CMS 설정 오류. 약 3,000개의 미발행 자산이 암호화되지 않은 공개 데이터 캐시에 노출됐다. 미토스의 존재 자체가 이 사고로 외부에 처음 알려졌다. 둘째, 클로드 코드(Claude Code) 소스 노출. NPM에 컴파일 버전만 올려야 했는데 원본 소스 약 50만 줄, 1,900개 파일이 통째로 공개됐다. 셋째, 4월 21일 미토스 프리뷰 무단 접속. 블룸버그 보도에 따르면 미공개 AI 모델 정보를 공유하는 디스코드(Discord) 그룹 일부가 미토스 공개 당일부터 이미 접근에 성공해 정규적으로 사용해 온 정황이 포착됐다. 이들은 스크린샷과 실시간 시연 자료까지 보유하고 있었다.
앤트로픽은 "제3자 벤더 환경에서 발생한 사고이며 핵심 로직과 가중치는 보호되고 있다"고 해명했지만, 영국 파이낸셜타임스(FT)는 "기업가치 3,800억 달러의 AI 연구소가 자신이 만든 기술을 악의적 행위자의 손에 들어가지 않게 보호할 수 있는지에 대한 의문이 제기됐다"고 평가했다. 사고 경로가 모두 외부 협력사·플랫폼이라는 점도 의미심장하다. AI 시대의 약한 고리는 모델 자체가 아니라 그것을 둘러싼 공급망일 수 있다는 신호다.
악용 시나리오는 추상적이지 않다
가장 자주 인용되는 우려는 '패치 속도가 익스플로잇 속도를 따라가지 못한다'는 것이다. 한 보고서는 이를 두고 보안 업데이트 주기를 '주(week) 단위'에서 '시간(hour) 단위'로 단축해야 한다고까지 적었다. 비현실적으로 들리지만, 미토스가 실제로 한 달 안에 발견한 취약점 수를 감안하면 과장이 아니다.
더 구체적인 우려는 이미 사례로 존재한다. 앤트로픽은 자체 보고서에서 중국 국가 지원 해킹 그룹이 회사가 탐지하기 전까지 클로드 코드를 사용해 약 30개 조직 — 기술기업, 금융기관, 정부기관 — 에 침투를 시도하는 캠페인을 운영했다고 밝힌 바 있다. 미토스보다 약한 모델로도 이미 일어난 일이다. 미토스급 모델이 통제 밖으로 나간다면 어떨까. 이것이 미국 재무부와 연방준비제도(Fed)가 한때 앤트로픽 서비스 사용 중단을 검토했다가 오히려 미토스 접근 권한 확보 협의로 방향을 튼 이유다. 한국 정부도 "미토스 주의보"를 발령하며 안보실 차원의 민관군 긴급 대응을 주문했다.
앤트로픽은 후속 모델인 클로드 오퍼스 4.7을 발표하면서 "미토스 프리뷰 대비 사이버 보안 역량을 의도적으로 낮췄다"고 밝혔다. 같은 회사가 자신의 신모델을 두고 "이전 모델보다 약하게 만들었다"고 광고해야 하는 상황. AI 업계에서 이런 일은 처음이다.
냉정하게 봐야 할 것들
다만 한쪽으로만 정리할 사안은 아니다. 우선 미토스의 성과 상당수는 외부 독립 검증이 충분히 끝나지 않은 상태이고, 발견된 취약점도 책임공개(Coordinated Vulnerability Disclosure) 절차상 비공개로 묶인 것이 많다. 앤트로픽의 발표를 그대로 확정 사실로 받아들이는 것은 성급하다.
또한 미토스 같은 도구는 본질적으로 '먼저 쓴 쪽'이 유리한 비대칭적 무기다. 모질라 최고기술책임자가 "당장은 두렵지만 결국 방어자에게 희소식"이라고 표현한 이유가 여기 있다. 공격자는 한 건의 제로데이를 위해 수개월의 시간과 비용을 투입할 수 있지만, 방어자는 그 비용을 감당하기 어려워 기계에 의존할 수밖에 없는 구조였다. 이 격차를 AI가 메우면 공격 측의 장기적 우위는 오히려 약해진다는 논리다. 271건이라는 숫자가 무서운 게 아니라, 그 271건을 '방어자가 먼저 찾았다'는 사실이 핵심이라는 관점도 같은 맥락이다.
눈여겨 봐야 하는 지점
이 풍경에서 한국이 놓치면 안 되는 지점이 몇 가지 있다.
첫째, 보안을 보는 눈이 달라져야 한다. 지금까지는 '이 취약점은 위험도 몇 점짜리'라는 식의 점수표를 보고 위험한 것부터 막는 방식이었다. 미토스 같은 도구는 그렇게 일하지 않는다. 한 번에 하나씩 보지 않고, 작은 결함 여러 개를 묶어 큰 구멍을 만든다. 그래서 한 건 한 건의 점수보다 '이 결함들이 서로 연결되면 어디까지 갈 수 있는가'를 봐야 한다. 정상 계정으로 정상적인 절차를 밟는 척하며 안쪽까지 들어오는 공격이 이제 표준이 된다.
둘째, 우리 회사만 잘 지킨다고 안전하지 않다. 미토스 사고 세 건이 모두 앤트로픽 본체가 아니라 외부 협력사와 외부 플랫폼에서 났다는 사실이 핵심이다. 우리가 쓰는 클라우드, 우리가 깔아둔 라이브러리, 우리에게 외주로 일하는 업체 — 이들 중 한 곳만 뚫려도 우리 시스템이 같이 뚫린다. '한 번 들여보낸 다음에는 믿는다'가 아니라 '매번 다시 확인한다'는 원칙으로 갈아타야 한다는 얘기가 그래서 나온다.
셋째, 명단 안에 들어가야 한다. 앤트로픽이 미토스를 미리 쥐여준 약 40개 협력사 명단에 한국 기업은 한 곳도 없다. 류제명 과학기술정보통신부 제2차관은 4월 22일 코엑스 월드IT쇼에서 "앤트로픽, 오픈AI와 보안 협의를 진행 중"이라고 밝혔지만 가시적 단계는 아직이다. 이 명단에 들어가느냐 마느냐가 단순한 자존심 문제가 아니다. 들어가지 못하면 우리 인프라의 약점을 우리보다 다른 나라의 AI가 먼저 알게 된다.
다시 그 271이라는 숫자
271건의 취약점이 한 브라우저 안에서 발견됐다는 사실은 두 가지를 동시에 의미한다. 우리가 매일 사용하는 소프트웨어 안에 그만큼의 약점이 숨어 있었다는 것. 그리고 그것을 찾아낼 수 있는 도구가 이제 만들어졌다는 것.
문제는 그 도구가 누구의 손에 먼저 가느냐다. 닫아두면 새어 나가고, 열어두면 악용된다. 어느 쪽도 정답이 아니라는 사실 자체가 미토스가 태풍의 눈이 된 진짜 이유다. AI는 더 이상 코드를 짜주는 비서가 아니다. 코드를 부수는 도구이기도 하다는 사실 — 우리는 이제 그 위에서 사이버 안보를 다시 설계해야 한다.
폭풍은 이미 시작됐다.
이동철 | 하이엔드전략연구소 (hesi.research@gmail.com)
#하이엔드데일리 #미토스 #ClaudeMythos #앤트로픽 #Anthropic #프로젝트글래스윙 #ProjectGlasswing #사이버보안 #제로데이 #취약점탐지 #AI보안 #공급망보안 #제로트러스트 #오퍼스47 #파이어폭스 #모질라 #AI규제 #보안핵폭탄 #국가안보 #테크트렌드
© 2026 하이엔드데일리. All rights reserved. 본 기사의 무단 전재 및 재배포를 금합니다.