최신 리포트 다운로드 지금 바로 문의하기
최신 리포트 다운로드 지금 바로 문의하기
newsletterTODAY'S PICKS

미토스 쇼크는 현재진행형! 에이전틱 AI는 세상을 어떻게 바꿀까?

BESPICK

by 예나 어

전 세계를 떠들썩하게 만든 AI 모델 미토스(Mythos)가 발표되고 한 달이 지났습니다. 여전히 미토스를 둘러싼 움직임은 현재진행형인데요. 단순히 새로운 모델 출시로 끝나지 않고 사이버 보안부터 국가 전략까지 각 영역을 뒤흔들고 있습니다. 오늘 베스픽에서는 미토스 쇼크를 다시 한번 짚어보고, 그로 인해 어떤 변화가 일어나고 있는지 살펴보겠습니다. 

미토스, 에이전틱 AI의 새로운 지평을 열다

지난 4월 7일, Anthropic은 차세대 AI 모델인 Claude Mythos Preview를 공개했습니다. 이후 IT 업계는 물론 금융권과 정부까지 전 세계가 크게 술렁였는데요. Anthropic이 이 모델의 일반 공개를 제한하겠다고 밝혔기 때문입니다.

미토스는 소프트웨어의 보안 취약점을 찾아내는 능력이 매우 뛰어난 것으로 알려졌습니다. Anthropic에 따르면, 이 모델은 수십 년 동안 발견되지 않았던 보안 결함을 탐지하고 공격 코드를 생성할 수 있다고 하는데요. 실제로 미토스는 오픈소스 운영체제 OpenBSD에 27년간 숨어있던 취약점을 찾아내고, 그 취약점을 기반으로 한 공격 방식을 제안했다고 하죠. 해당 운영체제를 실행하는 모든 서버를 원격으로 다운시킬 수 있는 치명적인 결함이었습니다.

이 외에도 주요 운영체제와 브라우저에서 수천 개의 제로데이 취약점을 발견한 것으로 알려졌는데요. 하지만 미토스가 처음부터 사이버 보안을 위해 만들어진 것은 아닙니다. 높은 코딩 성능과 자율성을 기반으로 복잡한 목표를 수행하는 과정에서, 자연스럽게 취약점 탐지와 공격 능력을 갖추게 된 것이죠. 특히 목표 해석부터 공격 방법 설계, 코드 생성, 검증 등의 여러 단계를 사람의 개입 없이도 스스로 실행할 수 있다는 점에서 미토스는 에이전틱 AI의 새로운 지평을 열었다고 평가받고 있습니다.
* 제로데이(Zero-day) 취약점: 개발자가 문제를 인지하거나 보안 패치를 배포하기 전, 즉 방어 수단이 마련되지 않은 상태의 치명적인 보안 약점

결국 Anthropic은 미토스를 Project Glasswing이라는 이름으로 극소수의 파트너사에게만 제공하기로 결정했습니다. 미토스가 악용될 경우 경제와 공공, 국가 안보 전반에 심각한 위협이 될 수 있기 때문입니다. Project Glasswing에는 AWS, Apple, Google, Microsoft, NVIDIA, Cisco, CrowdStrike 등 빅테크 기업들이 참여했는데요. 이들은 미토스를 활용해 자사 시스템의 취약점을 탐지하고 방어 체계를 강화하게 됩니다.

미토스 쇼크! 전 세계가 충격에 빠진 이유는?

미토스 발표 이후 많은 이해관계자들이 발 빠른 대응에 나섰습니다. 특히 각국 정부와 금융 당국은 긴급회의를 소집하고 우려를 표명했는데요. 미국과 홍콩, 한국 정부는 금융권 관계자들과 미토스의 위험성을 논의하고 사이버 보안 테스트를 점검했습니다. 미토스가 스스로 취약점을 탐지하고 공격 경로를 설계할 수 있다는 점에서 AI가 금융 시스템이나 국가 인프라에 위협이 될 수 있다는 위기감이 커졌기 때문입니다. 싱가포르와 호주 역시 사이버 보안 체계 강화에 나섰습니다.

IT 시장은 어땠을까요? 미토스가 공개된 후, 미국의 소프트웨어 주식이 일제히 하락했는데요. AI가 보안 산업의 구조를 바꿀 것이라는 불안감이 커진 탓입니다. 그동안 보안 업계는 취약점을 얼마나 잘 발견하느냐가 핵심 경쟁력이었는데요. AI가 이 작업을 단 몇 시간 만에 수행하게 되면서 이야기가 달라졌습니다. 미토스와 같은 에이전틱 AI가 기존 보안 솔루션과 서비스를 흔드는 변수로 떠오른 것입니다.

한편 미토스에 대한 회의적인 시선도 존재합니다. 미토스가 너무 위험하기 때문에 공개하지 않는다는 Anthropic의 발표는 마케팅 전략일 수 있다는 입장인데요. 영국 AI 안전연구소는 미토스가 이전보다 발전했지만, 방어 체계가 잘 갖춰진 시스템에 대해서는 완전한 자율 공격은 어려울 것이라고 평가했습니다. 하지만 중요한 것은 AI의 자율성이 이미 사회 전반에 영향을 미치고 있다는 점입니다. 에이전틱 AI가 생산성 도구를 넘어 산업과 제도, 운영 방식을 다시 설계하게 만들고 있습니다.

사이버 보안, 이제 발견보다 대응이 관건

미토스 쇼크로 인해 가장 먼저 변화를 경험한 영역은 사이버 보안입니다. 앞서 이야기한 것처럼 지금까지 보안 업계에서 취약점 발견은 매우 가치 있는 일이었습니다. 하지만 AI가 사람보다 훨씬 빠른 속도로 취약점을 찾아내기 시작하면서 발견 자체보다는 어떻게 대응하느냐가 더 중요한 문제가 되고 있죠.

취약점 관리 체계 CVE 시스템에도 부담이 커지고 있습니다. 한꺼번에 많은 취약점이 드러나면서 이를 검증하고 우선순위를 정하는 일이 마비될 것이라는 전망도 있죠. 또한 속도와 양을 넘어 수십 년간 놓치고 있던 문제점이 발견되면서 기존 보안 체계의 한계도 드러나기 시작했는데요. 미토스는 자동화 테스트 도구가 500만 번 실행하고도 발견하지 못했던 16년 된 코드의 취약점을 찾아냈다고 합니다.
* CVE: Common Vulnerabilities and Exposures, 새로 발견된 보안 취약점을 식별하고 명명하기 위한 글로벌 표준 시스템

문제는 취약점을 수정하고 유지 보수하는 과정은 여전히 사람 중심이라는 점입니다. 특히 오픈소스 생태계는 소수의 인력에 의존하는 경우가 많아 병목 현상이 더욱 심해질 수 있는데요. 자연스레 사이버 보안 비즈니스도 취약점을 많이 발견하는 것이 아닌, 발견된 취약점에 빠르게 대응하는 싸움으로 바뀌고 있습니다. 보안 인력의 역량 역시 AI가 가져온 결과물을 검증하고, 상황에 맞게 판단하고, 신속히 결정하는 능력이 핵심이 되고 있죠.

AI가 외교 카드? 국가 전략의 변화

이러한 변화는 기업을 넘어 국가 차원으로까지 확장되고 있습니다. 그동안 많은 나라들은 새롭게 발견한 보안 취약점을 바로 공개하지 않고, 사이버 안보를 위한 전략 자산처럼 쌓아두고 관리해왔는데요. AI가 인간보다 훨씬 빠른 속도로 취약점을 찾아내면서, 이제 비축이 아닌 실시간 경쟁으로 전환되고 있는 것입니다.

한편 AI 접근권이 새로운 외교 자산으로 떠오르고 있습니다. 현재 미토스에 대한 외부 접근이 허용된 국가는 미국 외에 영국 정도에 불과한데요. EU 집행위원회는 미토스 공개 직후 Anthropic과 여러 차례 면담을 진행했지만 여전히 접근권을 얻지 못했다고 하죠. 독일 역시 미토스 접근권을 위해 미국 샌프란시스코까지 직접 찾아갔지만 성과를 얻지 못했습니다.

AI 접근권을 얻기 위한 움직임은 최근까지도 계속되고 있습니다. 지난주 우리나라 과학기술정보통신부는 외교부와 국가정보원, AI 안전연구소 등과 함께 Anthropic 담당자와 간담회를 진행했는데요. 주요 의제는 역시 Project Glasswing 참여를 통한 미토스 접근권 확보였습니다. 다음 날 일본도 Anthropic과 접근권 협의에 나설 것이라고 보도되었는데요. 민간 기업의 AI 모델 접근권을 두고 각국 정부가 협상 테이블에 앉는 전례 없는 장면이 펼쳐지고 있습니다.

미토스는 국가 전략의 방향도 바꾸고 있습니다. 미국 트럼프 행정부는 그간 AI에 개입하지 않는다는 기조를 유지해왔는데요. 미토스 발표 이후, 신규 AI 모델에 대한 정부의 심사 절차 도입을 검토하기 시작했습니다. AI를 이용한 사이버 공격이 발생했을 때의 정치적, 안보적 파장을 우려한 것입니다. AI의 군사적 활용을 두고 Anthropic과 갈등을 빚어온 미국 국방부 역시, Anthropic 퇴출을 추진하는 것과는 별개로 미토스를 도입할 것으로 알려졌습니다.

AI 거버넌스가 만드는 새로운 비즈니스?

미토스 쇼크가 가져온 가장 큰 변화는 AI 거버넌스 영역에서 나타나고 있습니다. 그동안 AI 거버넌스는 사이버 보안이나 컴플라이언스의 일부 기능처럼 다뤄지는 경우가 많았는데요. AI가 자율적으로 판단하고 실행하는 수준으로 발전하면서, AI 거버넌스가 독립적인 영역으로 분리되고 전문화되고 있습니다.

AI가 결정을 내리는 과정에서 인간의 개입이 있었는지도 중요해지고 있습니다. AI가 스스로 취약점을 탐지하고 공격 경로를 설계할 수 있는 상황에서 누가 이것을 검토했고 어떤 기준으로 승인했는지가 새로운 감사 대상이 되는 것입니다. 즉, 앞으로는 AI 활용 여부를 넘어 AI를 어떤 방식으로 운영하고 통제하고 있는지가 핵심 거버넌스 영역으로 확대될 전망입니다. 이는 새로운 비즈니스로 이어지기도 하는데요. 실제로 글로벌 컨설팅 기업이나 보안 기업들은 AI 리스크 평가, AI 운영 감사와 같은 서비스를 늘려가고 있다고 하죠.

AI 거버넌스가 작동하는 시점도 빨라졌습니다. 이제 AI 출시 이후가 아니라 출시 이전부터 AI 거버넌스를 적용하기 시작했는데요. Anthropic이 Project Glasswing을 통해 미토스를 누구에게 어떤 방식으로 배포할 것인지까지 통제한 것처럼, 이러한 접근 방식이 앞으로 고성능 AI 모델을 다루는 하나의 표준이 될 것이라는 분석도 나오고 있습니다.

지금까지 미토스 쇼크가 가져온 변화에 대해 살펴보았는데요. 미토스 쇼크는 단순한 보안 이슈가 아니라, 목표를 이해하고 스스로 행동하는 에이전틱 AI 시대로 접어들었음을 보여주는 사례입니다. 그리고 AI의 자율성이 사이버 보안뿐 아니라 금융, 국가 전략, 거버넌스 등 모든 영역에 막대한 영향을 주고 있는 것이죠.

그렇다면 우리는 어떻게 대응해야 할까요? 많은 전문가들은 새로운 해결책보다는 이미 갖춰져 있어야 할 기반을 제대로 구축하는 것이 가장 효과적이라고 강조합니다. 강력한 AI 시대일수록 기본적인 보안 체계와 명확한 권한 관리, AI 거버넌스 체계 등이 훨씬 중요하다는 것인데요. 어쩌면 미토스 쇼크의 진짜 의미는 AI의 자율성이나 위험성보다는 우리가 얼마나 준비가 되어있느냐가 아닐까 싶습니다.

방금 읽은 이 콘텐츠가 마음에 드셨다면?
지금 바로 베스핀글로벌의 뉴스레터 ‘베스픽’을 구독하고, 매주 인사이트를 가장 빠르게 받아보세요.

문의하기
뉴스레터 구독하기

FAQ

Q1. 앤트로픽(Anthropic)이 공개한 ‘미토스(Mythos)’는 기존 AI 모델과 무엇이 다른가요?
미토스는 높은 코딩 성능과 자율성을 바탕으로 사람의 개입 없이 복잡한 목표를 스스로 수행하는 ‘에이전틱 AI(Agentic AI)’의 대표적인 사례입니다. 특히 소프트웨어의 보안 취약점을 탐지하고 분석하는 능력이 탁월하여, 오픈소스 운영체제(OpenBSD)에 27년간 숨어 있던 치명적인 결함을 단숨에 찾아내고 공격 코드까지 생성해 낼 정도로 강력한 자율성과 추론 능력을 증명했습니다.

Q2. 미토스가 악용될 위험이 있다면, 현재 어떤 방식으로 관리·배포되고 있나요?
앤트로픽은 미토스가 국가 안보나 금융 시스템 등 사회 전반에 심각한 위협이 될 수 있다고 판단하여 일반 공개를 제한했습니다. 현재는 ‘프로젝트 글래스윙(Project Glasswing)’이라는 이름 하에 미국과 영국의 극소수 정부 기관, 그리고 AWS, Google, Microsoft, CrowdStrike 등 글로벌 빅테크 파트너사에게만 폐쇄적으로 제공되어 자사 시스템 방어 체계를 강화하는 데 활용되고 있습니다.

Q3. ‘미토스 쇼크’ 이후 글로벌 기업들과 각국 정부는 구체적으로 어떻게 대응하고 있나요?
금융 당국과 주요 정부(미국, 한국, 홍콩 등)는 금융 인프라 위협에 대비해 긴급 사이버 보안 테스트를 점검하고 있습니다. 외교가에서는 미토스 접근권을 얻기 위해 민간 기업인 앤트로픽과 전례 없는 국가 차원의 협상을 벌이고 있으며, 미국 트럼프 행정부는 신규 AI 모델 출시 전 정부가 심사하는 절차 도입을 검토하는 등 AI를 핵심 안보 자산이자 외교 카드로 다루기 시작했습니다.

Q4. 미토스와 같은 에이전틱 AI의 등장이 기존 사이버 보안 비즈니스를 어떻게 바꿀까요?
지금까지의 보안은 취약점을 얼마나 잘 ‘발견’하느냐가 핵심 경쟁력이었지만, AI가 인간보다 훨씬 빠른 속도로 취약점을 찾아내면서 이제는 ‘발견된 취약점에 얼마나 신속하게 대응(Remediation)하느냐’의 싸움으로 패러다임이 바뀌었습니다. 이에 따라 보안 인력의 역할 역시 AI가 도출한 결과물을 신속하게 검증하고 의사결정을 내리는 방향으로 진화하고 있습니다.

Q5. 기업이 미토스 쇼크와 같은 에이전틱 AI 시대에 대비하려면 무엇을 준비해야 하나요?
AI가 자율적으로 판단하고 실행하는 수준으로 발전하면서, AI 결정을 통제하는 ‘독립적인 AI 거버넌스 체계’를 선제적으로 구축해야 합니다. AI 활용 유무를 넘어 ‘누가, 어떤 기준으로 AI의 행동을 승인했는가’가 새로운 감사 대상이 될 것입니다. 결국 강력한 AI 시대일수록 새로운 해결책을 찾기보다 강력한 기본 보안 체계, 명확한 권한 관리, 체계적인 AI 거버넌스라는 인프라 기반(Foundation)을 제대로 갖추는 것이 기업의 가장 확실한 방어 전략입니다.

더 읽어볼 만한 컨텐츠

문의하기 베스픽 구독하기
궁금한 점이 있다면 클릭해주세요.