Anthropic의 Mythos가 사이버 보안의 미래에 의미하는 바
Source: Schneier on Security
(번역할 텍스트를 제공해 주시면 한국어로 번역해 드리겠습니다.)
두 주 전, Anthropic은 새로운 모델인 Claude Mythos Preview가 전문가의 지시 없이도 소프트웨어 취약점을 찾아 무기화하고, 이를 작동하는 익스플로잇으로 전환할 수 있다고 발표했습니다.
이러한 취약점은 운영 체제와 인터넷 인프라와 같은 핵심 소프트웨어에 존재했으며, 해당 시스템을 개발하는 수천 명의 소프트웨어 개발자들이 발견하지 못한 것이었습니다. 이 능력은 우리가 매일 사용하는 장치와 서비스에 큰 보안 영향을 미칠 수 있습니다. 따라서 Anthropic은 모델을 일반 대중에게 공개하지 않고, 제한된 수의 기업에만 제공하기로 했습니다.
이 소식은 인터넷 보안 커뮤니티에 큰 충격을 주었습니다. Anthropic의 발표에는 세부 사항이 거의 없었고, 이는 많은 관찰자들을 분노하게 만들었습니다. 일부는 Anthropic이 모델을 실행할 GPU가 부족해서 사이버 보안을 핑계로 공개를 제한하고 있다고 추측합니다. 다른 이들은 Anthropic이 AI 안전 사명을 고수하고 있다고 주장합니다. 과대광고와 반과대광고, 현실과 마케팅이 뒤섞여 있습니다. 전문가라 할지라도 정리하기가 쉽지 않은 상황입니다.
우리는 Mythos를 실제이지만 점진적인 단계, 즉 긴 연속적인 점진적 단계 중 하나로 보고 있습니다. 하지만 큰 그림을 볼 때, 점진적인 단계라도 중요한 의미를 가질 수 있습니다.
AI가 사이버 보안을 바꾸는 방법
우리는 shifting‑baseline syndrome(기준선 이동 증후군)에 대해 다룬 적이 있습니다. 이는 사람들—대중과 전문가 모두—이 점진적인 단계에 숨겨진 거대한 장기 변화를 간과하게 만드는 현상입니다. 온라인 프라이버시에서도 이런 현상이 있었고, 지금은 AI에서도 일어나고 있습니다. Mythos가 발견한 취약점이 지난달이나 지난해의 AI 모델로도 찾아낼 수 있었다고 해도, 5년 전의 AI 모델로는 찾아낼 수 없었습니다.
Mythos 발표는 AI가 불과 몇 년 만에 얼마나 크게 발전했는지를 일깨워 줍니다: 기준선이 실제로 이동했습니다. 소스 코드에서 취약점을 찾는 일은 오늘날의 대형 언어 모델이 뛰어나게 수행하는 작업입니다. 작년에 일어났든 내년에 일어나든, 이런 능력이 곧 등장할 것이라는 점은 한동안 명확했습니다. 이제는 우리가 어떻게 이에 적응하느냐가 문제입니다.
우리는 자율적으로 해킹할 수 있는 AI가 공격과 방어 사이에 영구적인 비대칭을 만들 것이라고 보지 않습니다; 그보다는 훨씬 더 미묘할 가능성이 높습니다.
- 일부 취약점은 자동으로 발견, 검증, 패치될 수 있습니다.
- 일부 취약점은 찾기 어렵지만 검증 및 패치는 쉬울 것입니다—예를 들어 표준 소프트웨어 스택을 기반으로 하는 일반적인 클라우드 호스팅 웹 애플리케이션은 업데이트를 빠르게 배포할 수 있습니다.
- 또 다른 경우는 강력한 AI가 없어도 찾기 쉽고 비교적 검증도 쉬우나, 패치가 어렵거나 불가능한 경우입니다. 예를 들어, 업데이트가 거의 이루어지지 않거나 쉽게 수정할 수 없는 IoT 기기와 산업 장비가 이에 해당합니다.
그 외에도 코드 상에서는 취약점을 쉽게 찾을 수 있지만 실제로 검증하기는 어려운 시스템이 있습니다. 예를 들어, 복잡한 분산 시스템과 클라우드 플랫폼은 수천 개의 서비스가 병렬로 상호 작용하면서 구성되기 때문에 실제 취약점과 오탐을 구분하고 이를 신뢰성 있게 재현하기가 어렵습니다.
시스템 보호를 위한 분류 체계
- 패치 불가능하거나 검증이 어려운 시스템은 보다 제한적이고 엄격하게 제어되는 레이어로 감싸서 보호해야 합니다. 냉장고, 온도조절기, 산업 제어 시스템 등을 제한적이고 지속적으로 업데이트되는 방화벽 뒤에 두어야 하며, 인터넷에 자유롭게 노출되지 않도록 해야 합니다.
- 근본적으로 상호 연결된 분산 시스템은 추적 가능해야 하며 최소 권한 원칙을 따라야 합니다. 즉, 각 구성 요소가 필요로 하는 접근 권한만을 가져야 합니다. 이러한 보안 원칙은 AI 시대에 버릴 유혹을 받을 수 있지만, 여전히 그 어느 때보다 중요합니다.
소프트웨어 보안 관행 재고
이는 소프트웨어 엔지니어링의 모범 사례의 중요성을 다시 부각시킵니다. 자동화되고 철저하며 지속적인 테스트는 언제나 중요했습니다. 이제 우리는 이 관행을 한 단계 더 나아가 방어적인 AI 에이전트를 사용해 실제 스택에 대해 취약점 테스트를 반복 수행하고, 거짓 양성을 제거한 뒤 실제 취약점과 수정 사항을 확인할 수 있습니다. 이러한 VulnOps는 개발 프로세스의 표준적인 부분이 될 가능성이 높습니다.
- 문서화가 더욱 가치 있게 됩니다. 문서는 개발자와 마찬가지로 AI 에이전트가 버그를 찾는 임무를 수행하도록 안내할 수 있기 때문입니다.
- 표준 관행을 따르고 표준 도구와 라이브러리를 사용하면 AI와 엔지니어 모두가 개별적이고 일시적인 인스턴트 소프트웨어 환경에서도 패턴을 더 효과적으로 인식할 수 있습니다.
[What Anthropic’s “Mythos” Means for the Future of Cybersecurity](https://www.schneier.com/blog/archives/2026/04/what-anthropics-mythos-means-for-the-future-of-cybersecurity.html) — code that can be generated and deployed on demand.
Will this favor [offense or defense](https://www.schneier.com/essays/archives/2018/03/artificial_intellige.html)? The defense eventually, probably, especially in systems that are easy to patch and verify. Fortunately, that includes our phones, web browsers, and major internet services. But today’s cars, electrical transformers, fridges, and lampposts are connected to the internet. Legacy banking and airline systems are networked.
Not all of those are going to get patched as fast as needed, and we may see a few years of constant hacks until we arrive at a new normal: where verification is paramount and software is patched continuously.이 에세이는 Barath Raghavan과 함께 작성되었으며 원래 IEEE Spectrum에 게재되었습니다.
Tags:
AI •
cybersecurity •
LLM •
patching •
vulnerabilities
2026년 4월 28일 오전 7시 06분에 게시 – 게시물 보기 • 1 댓글
사이드바 사진: Joe MacInnis가 촬영한 Bruce Schneier.