보안 취약점의 아마겟돈이 열렸다

안녕하세요, 촌장입니다.

혹시 넷플릭스 드라마 <제로 데이(Zero Day)> 보셨나요? 로버트 드 니로가 전직 미국 대통령 역으로 출연해 화제가 됐던 정치 스릴러입니다. 미국 전역의 전력망과 통신망이 단 1분간 마비되고, 그 짧은 순간에 비행기가 추락하고, 교통 신호가 꺼지고, 3,402명이 사망합니다. 그리고 모든 휴대폰에 이런 메시지가 뜨죠. "THIS WILL HAPPEN AGAIN(이런 일이 또 일어날 것이다)."

제목에서도 드러나듯이 <제로 데이>라는 취약점 공격이 얼마나 위험할 수 있는지를 여실히 보여주는 드라마입니다. 하지만 영화는 영화일 뿐. 실제로는 저렇게 심각하게 국가 기간망 전체가 타격을 받는 일은 일어나지 않을 거라 많은 사람들이 생각했죠.

출처 : 넷플릭스

그런데 이번 주, AI 업계에서 가장 뜨거운 뉴스가 하나 터졌습니다. 앤트로픽에서 AI 모델 Mythos(미토스)를 새롭게 공개했는데요. 놀라운 건 이 AI 모델이 이전의 모델에서는 접근하기 어려웠던 보안의 취약점을 찾는데 엄청난 능력을 보여줬다는 데 있습니다.

오늘 수요레터에서는 앤트로픽이 공개한 AI 모델 'Mythos(미토스)'가 사이버보안 영역에서 어떤 의미와 영향을 가지고 있는지 그리고 관련 대응 방안에 대해 간략하게나마 살펴보려 합니다.

자, 그럼 시작해 볼까요?

제로데이, 그게 뭔데?

먼저 '제로데이(Zero-day)'라는 개념부터 짚어 보겠습니다.

소프트웨어에는 개발자조차 모르는 보안 결함이 숨어 있을 수 있습니다. 이런 결함을 '취약점(vulnerability)'이라고 부르는데요. 개발자가 이 결함의 존재를 인지한 날이 '0일째'입니다. 즉, 방어할 시간이 단 하루도 없다는 뜻이죠. 그래서 '제로데이(Zero-day)'입니다.

해커가 이런 결함을 개발자보다 먼저 발견하면 어떻게 될까요? 방어자가 대응할 시간 자체가 없으니, 말 그대로 무방비 상태에서 공격을 당하게 됩니다. 사이버보안의 세계에서 가장 위험한 종류의 위협으로 꼽히는 이유입니다.

그동안 제로데이 취약점을 찾는 일은 고도로 숙련된 보안 전문가들도 수개월에서 수년이 걸리는 작업이었습니다. 국가 정보기관 수준의 자원과 인력이 필요한, 소수 보안 전문가들만의 영역이었죠.

그런데 바로 이 판을 AI가 뒤집어 놓은 겁니다.

Mythos 미토스, 해커보다 해킹을 잘하는 AI

지난 4월 7일, AI 기업 앤트로픽이 'Claude Mythos Preview'라는 새로운 AI 모델을 발표했습니다. 그런데 보통의 모델 출시와는 분위기가 사뭇 달랐습니다.

앤트로픽이 이 모델은 너무 강력해서 일반 공개를 하지 않겠다고 선언한 겁니다. Mythos가 시스템의 취약점을 찾아내는 게 엄청난 능력을 보였기 때문입니다.

2019년 OpenAI가 GPT-2를 안전 우려로 보류한 이후, 약 7년 만에 주요 AI 기업이 모델 공개를 거부한 첫 사례인데요.

대체 Mythos의 능력이 어느 정도였을가요?

* 앤트로픽은 Mythos가 모든 주요 운영체제(Windows, Linux, macOS 등)와 웹 브라우저에서 수천 건의 제로데이 취약점을 자율적으로 발견했다고 보고했습니다.
* 보안으로 유명한 운영체제 OpenBSD에서 27년간 그 누구도 찾지 못했던 취약점을 찾아 내기도 했구요.
* 영상 코덱 FFmpeg에서는 500만 번의 자동화 테스트에서도 검출되지 않았던 16년 된 결함을 발견했습 니다.
* 더 놀라운 것은 단순히 취약한 구멍을 찾는 데서 그치지 않았다는 점입니다. Mythos는 여러 취약점을 연 쇄적으로 엮어 실제로 시스템을 장악할 수 있는 공격 코드까지 스스로 작성했습니다. 한 사례에서는 웹 브라우저의 4개 취약점을 연결해 보안 장벽 두 겹을 동시에 뚫어버렸습니다.

이전 최고 모델(Opus 4.6)은 같은 조건에서 수백 번 시도 중 단 2번만 취약점을 찾아내는데 성공했을 뿐인데 반해, Mythos는 무려 181번이나 성공했습니다. '조금 더 잘하는' 수준이 아니라 차원이 다른 도약이라고 부를 수 있습니다.

기존에는 국가 정보기관 수준의 전문성이 필요했던 정교한 해킹 능력이, 이제는 AI 모델 하나로 구현 가능해진 겁니다.

보안 전문 지식이 전혀 없는 앤트로픽의 일반 엔지니어가 Mythos에게 "밤새 취약점 좀 찾아줘"라고 요청하고 아침에 출근했더니, 완성된 공격 코드가 올라와 있었다는 보고도 있습니다.

상상으로만 했던 우려가 정말 현실이 될 수도 있는 지점에 거의 다다른 느낌입니다.

Project Glasswing — 방어자에게 먼저 시간을 주다

이런 위험한 능력을 가진 모델을 어떻게 해야 할까요? 앤트로픽은 이 모델을 숨기는 대신, 방어에 먼저 쓰기로 결정합니다.

'Project Glasswing(글래스윙 프로젝트)'이라는 이름으로, AWS, Apple, Microsoft, Google, NVIDIA, CrowdStrike 등 세계 최대 기술 기업들과 협력 체계를 구축했습니다. 이 기업들에게 Mythos를 먼저 제공해서, 자사 시스템의 취약점을 찾고 패치할 시간을 벌어주겠다는 전략입니다.

앤트로픽은 이 프로젝트에 1억 달러(약 1,400억 원)의 모델 사용 크레딧과 오픈소스 보안 단체에 400만 달러를 지원했습니다. 약 40개 추가 조직에도 접근 권한을 확대했고요.

핵심 논리는 명확합니다. 유사한 능력의 AI 모델이 6~12개월 내에 다른 곳에서도 등장할 것이므로, 그 전에 방어자가 먼저 움직여야 한다는 것입니다. 창이 강해질수록 방패를 먼저 두껍게 만들어 놓자는 생각입니다.

출처 : 앤트로픽

정부가 긴급 소집에 나서다

이번 사태에 가장 빠르게 반응한 것은 미국 정부였습니다.

Mythos 공개 일주일 전, 부통령 JD 밴스와 재무장관 스콧 베센트가 주요 테크 CEO들(앤트로픽, OpenAI, Google, Microsoft, xAI 등)과 긴급 온라인 회의를 열었습니다. AI 모델의 보안 위협과 대응 방안을 논의했다고 알려졌는데요.

발표 다음 날에는 더 이례적인 일이 벌어졌습니다. 재무장관과 연방준비제도 의장 제롬 파월이 월가의 주요 은행 CEO들을 워싱턴 재무부 본부로 긴급 소집했습니다. 시티그룹, 골드만삭스, 모건스탠리, 뱅크오브아메리카, 웰스파고 등 미국의 대표적인 금융 기업들의 수장들이 모였죠.

이번 긴급 대책 회의는 정책 입안자들이 AI 기반 사이버 리스크를 더 이상 기술 문제가 아니라 금융 안정성의 심각한 문제로 보기 시작했다는 신호로 읽혀집니다. 재무장관과 연준 의장이 은행 CEO들을 직접 부르는 일은 흔치 않거든요.

보안 전문가 커뮤니티도 긴급하게 움직이고 있습니다. Cloud Security Alliance, SANS Institute 등 80여 명의 전문가들이 'Mythos 대비 보안 프로그램'이라는 프레임워크를 발표하며, 기업 보안 책임자들에게 90일 이내 추진해야할 행동 계획을 제시하기도 했습니다.

비판과 반론 — 정말 그만큼 위험한가?

물론 모든 전문가가 위기론에 동의하는 것은 아닙니다.

보안 분야의 원로 브루스 슈나이어는 "앤트로픽의 PR 전략이라는 측면이 강하다"고 지적했습니다. 실제로 보안 기업 AISLE은 더 작고 저렴한 공개 모델로도 Mythos가 발견한 취약점 일부를 재현할 수 있었다고 발표했습니다.

25년 경력의 보안 전문가 David Lindner는 "취약점을 찾는 것보다 고치는 게 더 어려운 문제"라고 꼬집기도 합니다. 실제로 Mythos가 발견한 취약점의 99% 이상이 아직 패치되지 않은 상태입니다. 찾기만 하고 고칠 사람이 없다면, 오히려 더 위험한 상태이니 앤트로픽의 노력이 현실성이 없다는 주장입니다.

실리콘밸리의 투자자 마크 앤드리슨은 아예 다른 시각에서 의문을 던졌습니다. "보안 우려가 아니라 컴퓨팅 자원이 부족해서 공개를 못하는 것 아니냐"고 앤트로픽의 이번 주장을 의심하기도 합니다.

비판자들의 공통된 지적은 이렇습니다. "너무 위험해서 공개 불가"라는 프레이밍 자체가 마케팅 카피가 아니냐는 것이죠. 일리 있는 지적이기도 합니다.

하지만 이런 비판에도 불구하고, 대부분의 보안 전문가들은 하나의 사실에는 동의합니다. 이번 모델의 취약점 발견 능력이 이전 모델보다 확실히 뛰어난 것은 사실이고, 이 정도의 능력이 6~12개월 내에 다른 기업들의 AI 모델에서도 보편화될 것이라는 점입니다. 시기의 문제일 뿐, 방향은 확정된 셈 입니다. 더 늦기 전에 이전에는 상상할 수 없었던 보안의 위협에 대처해야 합니다.

우리에게 필요한 3가지 대응 전략

그렇다면 이 새로운 현실 앞에서 우리는 어떻게 준비해야 할까요? 세 가지 방향을 고민할 수 있을 것입니다.

전략 1: 알아 차림 — 위협의 본질을 이해하기

가장 먼저 필요한 것은 이 변화의 성격을 정확히 인식하는 것입니다. Mythos가 보여준 것은 단순히 '더 똑똑한 해커 도구'가 아닙니다.

그동안 국가 정보기관 수준의 전문성이 필요했던 공격 능력이, 이제 소프트웨어 몇 줄로 가능해진 겁니다. 사이버 공격의 진정한 '대중화'의 신호라고 볼 수 있습니다. 코딩을 모르는 사람도 AI에게 "이 시스템의 약점을 찾아줘"라고 말하면, 실제로 작동하는 공격 코드가 나오는 세상이 열린 겁니다.

"우리는 규모가 작으니 해커의 타깃이 아니야"라는 생각은 더 이상 유효하지 않습니다. 공격의 비용이 급격히 낮아지면, 공격의 대상도 급격히 넓어지기 때문입니다.

전략 2: 속도 전환 — '완벽한 방어'에서 '빠른 복구'로

현재 취약점 발견에서 실제 공격까지의 시간이 수주에서 하루 이하로 단축되고 있습니다. 공격 속도가 방어 속도를 이미 추월한 거죠.

이런 환경에서 "모든 구멍을 미리 막겠다"는 전략은 사실 비현실적입니다. "뚫리는 것을 전제로, 피해를 최소화하고 빠르게 복구한다"는 회복탄력성(Resilience) 중심으로 사고를 전환해야 합니다.

제로 트러스트(아무도 신뢰하지 않는다) 아키텍처, 마이크로 세그먼테이션(피해 확산 방지를 위한 구획화), 실시간 이상 탐지 같은 접근이 선택이 아닌 필수가 됩니다.

전략 3: 생태계적 사고 — 혼자 지키는 시대는 끝났다

이번 사태가 보여준 가장 중요한 교훈은, 사이버보안이 더 이상 개별 기업 보안 부서의 문제가 아니라는 것입니다.

27년 된 취약점이 소규모 자원봉사자들이 유지하는 오픈소스 프로젝트에서 발견되었다는 사실을 떠올려 본다면, 우리 모두가 매일 쓰는 소프트웨어가 얼마나 취약한 기반 위에 서있는지를 인식하게 됩니다.

정부-기업-오픈소스 커뮤니티 간의 협력 체계가 지금 당장 필요하고, 보안을 '비용'이 아닌 '공공 인프라'로 인식하는 전환이 필요합니다. 보안 전문가 80여 명이 자발적으로 90일 행동 프레임워크를 발표한 것은 이런 생태계적 접근의 시작이라 볼 수 있습니다.

보안 패러다임 변화의 변곡점

드라마 <제로 데이>에서 로버트 드 니로가 연기한 전직 대통령은 사이버 공격의 진상을 파헤치며 이런 사실을 깨닫습니다. 진짜 위협은 외부의 해커가 아니라, 위험을 알면서도 아무런 준비를 하지 않는 내부의 안일함이었다는 것을 말이죠.

돌이켜보면, 우리는 늘 위기가 터진 후에야 준비의 중요성을 깨닫곤 합니다.

이번에는 조금 달라질 수 있을까요?

Mythos가 우리에게 던지는 질문은 단순하지만 심각합니다.

* 우리 조직은 보안이 뚫렸을 때 얼마나 빨리 복구할 수 있는가?
* 우리가 의존하는 시스템의 약점을 우리는 알고는 있는가?
* 보안을 보안 부서만의 일로 치부하고 있지는 않은가?

오늘 수요일, 한 번쯤 우리의 디지털 안전망을 점검해 보는 계기가 되셨으면 합니다. 보안의 패러다임이 정말로 완전히 달라지는 변곡점에 서있습니다.

촌장 드림