미소스 시리즈 3편 — weight가 아니라 시스템이다
4월 18일 금요일, 누군가 GitHub에 한 저장소를 올렸다. 이름은 OpenMythos. 스물두 살이라고 소개하는 독립 연구자 Kye Gomez가, 앤트로픽이 공개하지 않은 Claude Mythos의 아키텍처를 추정해서 PyTorch로 옮긴 것이라 했다. 나흘 뒤인 4월 22일 아침, 스타는 7.3k, 포크는 1.5k를 찍었다.
나는 이 프로젝트를 "복제"라고 부르지 않을 생각이다. 저자 본인이 README에 선을 그었기 때문이다. "이것은 앤트로픽이 공개한 Mythos 벤치마크를 설명할 수 있을 만한 아키텍처에 대한 반증 가능한 가설이다. 복제도 아니고 유출도 아니다." 이 문장은 법적 방어선이자 과학적 프레이밍이다. weight도 없고, 학습 데이터도 없고, 성능이 독립 검증된 적도 없다. 공개된 건 "이렇게 추정했다"는 도면뿐이다.
도면의 내용은 꽤 구체적이다. Prelude에서 초기 인코딩을 하고, 동일한 Recurrent Block을 최대 16회 재귀적으로 통과하며 계산 깊이를 동적으로 늘리고, Coda로 출력을 정렬한다. 여기에 DeepSeekMoE 스타일의 전문가 라우팅, DeepSeek-V2의 MLA 어텐션, 재귀 안정성을 위한 spectral radius<1 LTI 제약, 회차별 Depth-wise LoRA가 더해진다. 이론적으로는 흥미롭다. Gomez는 Parcae 계열 논문을 인용하며 "770M 활성 파라미터로 1.3B 수준 성능"이라는 수치를 끌어오지만, 이건 인용한 문헌의 주장이지 OpenMythos 자체 실측이 아니다. 이 차이가 중요하다.
그리고 정확히 같은 주에, 훨씬 조용하고 훨씬 결정적인 실험이 공개됐다. AISLE이 올린 "Jagged Frontier" 포스트다. 문장을 그대로 옮긴다. "8/8 models detected Mythos's flagship FreeBSD exploit, including one with only 3.6B active parameters at $0.11/M tokens." "A 5.1B open model recovered the core chain of the 27-year-old OpenBSD bug." 여덟 개 모델이 전부 탐지했고, 그중 하나는 활성 3.6B짜리 오픈 모델이고, 요금은 100만 토큰당 0.11달러다. 미소스 요금(입력 25달러/출력 125달러)과 비교하면 두 자리수 이상 저렴하다. 그런데도 flagship 취약점을 짚었다.
AISLE은 한 문장으로 결론을 박았다. "The moat in AI cybersecurity is the system, not the model." 해자는 모델이 아니라 시스템이다.
이 문장이 미소스 시리즈 3편 전체의 thesis다. 나는 4월 8일 글에서 "가장 날카로운 칼이 방어자 손에 먼저 쥐어졌다"고 썼다. 4월 15일 글에서는 그 칼이 백악관·연준·한국 과기부를 움직였다고 썼다. 4월 22일 오늘은 그 칼이 분해되고 있다는 이야기다. 설계도는 가설 단계에서 GitHub로 새어나갔고, 동시에 오픈 3.6B 모델이 시스템의 힘만으로 flagship에 접근할 수 있음이 독립 실험으로 드러났다.
글래스윙이 지킨 것과 지키지 못한 것이 여기서 갈린다. 지킨 것: Mythos의 weight, 학습 데이터, 내부 벤치마크. 지키지 못한 것: 아키텍처 아이디어, 시스템 설계 노하우, 그리고 무엇보다 "weight 없이도 비슷한 능력에 도달할 수 있다"는 커뮤니티의 합의. 앤트로픽의 접근 통제 전략은 여전히 작동한다. 다만 유효 기간이 생각보다 짧다. 경쟁 모델은 1주일 만에 나왔고(GPT-5.4-Cyber), 오픈 재구성 시도는 11일 만에 나왔고(OpenMythos), 시스템 우회는 2주 만에 증명됐다(AISLE).
아시아 금융권이 같은 주에 일제히 움직인 건 우연일까. 사실과 해석을 분리해야 한다.
사실은 이것이다. 4월 20일 MAS(싱가포르)가 "redouble efforts to strengthen security defences"라는 공식 문구를 냈다. 4월 21일 ASIC·APRA(호주)가 각각 "engages closely with other regulators", "continue to assess the implications"로 코멘트했다. HKMA(홍콩)는 새 프레임워크를 "about to bring forward" — "곧 내놓을 예정"이라고 했다. 이미 발표가 아니라 발표 예정이다. 한국 FSS는 긴급 회의를 열었다. 같은 주에 다섯 당국이 움직였다.
해석은 저자의 프레임이다. 어떤 매체도 "OpenMythos가 아시아 규제를 촉발했다"고 단정하지 않았고, 이 글도 단정하지 않는다. 다만 시점이 겹친 맥락은 읽을 수 있다. 글래스윙 창립 파트너 12개 기업에 아시아 주요 은행은 JP모건을 제외하면 공개된 이름이 없다. 싱가포르·홍콩·호주·한국 규제 당국이 같은 주 AISLE과 OpenMythos의 흐름을 보며, "우리 금융기관이 글래스윙 선별 밖에 있다는 사실이 방어 격차의 전부인가"를 되묻기 시작한 개연성은 있다. AISLE의 답은 같은 주에 나와 있었다. "아니다. 시스템을 설계하면 따라잡을 수 있다."
4월 14일에 쓴 "Harness Engineering" 글의 명제가 여기서 현실이 됐다. 도구가 아니라 하네스다. 같은 weight라도 harness·오케스트레이션·검증 파이프라인·커버리지 전략이 다르면 결과가 다르다. AISLE의 3.6B 실험이 이 명제를 AI 사이버보안 영역에서 정확히 증명했다.
그래서 4월 22일 이후의 질문은 바뀐다. "누가 미소스를 갖느냐"가 아니라 "누가 시스템을 설계할 수 있느냐"다. OpenMythos의 가설이 맞든 틀리든, AISLE 실험이 반복 재현되든 안 되든, 질문의 중심은 더 이상 weight가 아니다. 해자는 시스템에 있다.
스물두 살 연구자가 반증 가능한 가설이라는 이름으로 칼의 도면을 그렸다. 한 보안 스타트업이 오픈 3.6B 모델로 같은 칼을 휘두를 수 있음을 실측으로 보였다. 다섯 나라의 금융 규제 당국이 같은 주에 각자의 언어로 경계령을 냈다. 이 세 조각을 붙여 읽으면 한 문장이 남는다.
미소스의 진짜 해자는 weight가 아니라 시스템이다.
칼의 설계도는 공개됐다. 칼을 쓰는 법은 아직 아무도 공개하지 않았다. 다음 국면은 그 "쓰는 법"이 구체화되는 시점에 쓸 수 있을 것이다.