최근 공개된 미토스(Mythos)와 프로젝트 글래스윙(Project Glasswing)은 단순한 AI 신기술 이슈가 아니라 사이버보안의 전제가 바뀌고 있다는 신호로 받아들여지고 있습니다. 앤트로픽(Anthropic)은 Mythos Preview가 주요 운영체제와 웹브라우저 전반에서 수천 건의 고위험 취약점과 제로데이를 찾아냈다고 주장했고 이를 방어 목적으로 활용하기 위해 AWS, Apple, Cisco, Google, Microsoft, Linux Foundation, NVIDIA, Palo Alto Networks, JPMorganChase 등과 함께 Project Glasswing을 추진하고 있다고 밝혔습니다. 여기에 최대 1억 달러 규모의 사용 크레딧과 400만 달러의 오픈소스 보안 지원금도 포함됐습니다.
이 이슈가 중요한 이유는 문제의 핵심이 “AI가 취약점을 더 빨리 찾는다”라는 데만 있지 않기 때문입니다. 더 큰 문제는 기업이 그 속도를 따라가며 수정하고 통제하는 역량이 상대적으로 더디다는 점입니다. 다시 말해 위협은 이미 탐지 기술의 발전만이 아니라 보안 운영 체계 전체의 속도 경쟁으로 번지고 있습니다.
국내 보안 업계의 분위기를 한마디로 요약한다면 “실질적 위협의 가시화”입니다. 예전에는 AI가 보안 영역에서 취약점을 찾더라도 보조 도구 수준으로 여겨졌다면 이제는 “AI가 공격 가능한 경로를 스스로 연결하고 실제 익스플로잇 수준까지 접근할 수 있다”라는 가정이 더 이상 비현실적으로 들리지 않습니다. 그래서 보안 기업과 수요 기업 모두 “설마 가능한가” 보다 “언제 현실화될 것인가”라는 질문으로 이동하고 있습니다.
특히 공개적으로는 조심스러운 태도를 보이더라도 내부적으로는 상당수 조직이 위기감을 느끼고 있다는 해석이 나옵니다. 저희는 많은 기업들이 아직 공개적으로 큰 반응을 내지 않고 있지만 이는 무관심해서가 아니라 자사 시스템의 약점이 드러날 가능성 때문에 신중한 태도를 유지하는 것이라고 추정하고 있습니다. ZDNet 등의 매체에서도 “이렇게 빠른 변화는 처음”이라는 평가가 나올 정도로 긴장감이 높아진 상황입니다.
미토스의 차별점은 단순히 탐지 속도가 빠르다는 데 있지 않습니다. 핵심은 자율적 추론, 취약점 체이닝, 그리고 공격 시나리오 설계 능력입니다. 기존 모델이 이미 알려진 취약점 패턴을 찾아내거나 코드 일부를 보조 분석하는 수준에 가까웠다면, Mythos는 여러 개의 약한 신호를 엮어 실제 공격 경로를 구성하는 쪽으로 나아간 것으로 설명됩니다. 앤트로픽은 Mythos가 리눅스 커널 취약점들을 자율적으로 연결해 권한 상승과 시스템 장악으로 이어지는 공격 사슬을 구성했다고 밝혔습니다.
IBM은 이 차이를 특히 “vulnerability chaining”, 즉 작은 결함 여러 개를 실전형 공격 경로로 이어 붙이는 능력으로 설명하고 있습니다. 또한 소스코드가 없어도 컴파일된 바이너리 코드 분석을 통해 취약점을 찾을 수 있다는 점은 레거시 환경에 특히 위협적입니다. 이는 오래된 장비 또는 매뉴얼 등이 소실된 시스템, 유지보수 담당자가 바뀐 IT 자산까지 AI 기반 공격·분석의 대상이 될 수 있음을 의미합니다.
현재 공개된 주장만 놓고 보면, “상당 부분 그렇다”라고 평가할 수 있습니다. 앤트로픽은 Mythos Preview가 수십 년간 발견되지 않았던 취약점을 찾아냈다고 밝혔고 대표적으로 27년 된 OpenBSD 취약점, 16년 된 FFmpeg 취약점, 그리고 리눅스 커널 취약점 체이닝 사례를 제시했습니다. 이런 사례는 인간 전문가가 능력이 부족해서가 아니라 오랜 시간 누적된 코드와 방대한 탐색 공간을 전수 조사하고 상호 연관성을 계산하는 작업에서 AI가 압도적인 이점을 가질 수 있다는 점을 보여주는 사례라고 할 수 있습니다.
다만 여기에는 중요한 단서가 있습니다. 미토스 관련 주요 성과는 현재까지 공개 발표와 제한적 검증에 기반합니다. 현재까지는 공개되지 않은 취약점이 많고 외부 독립 검증이 충분히 이뤄지지 않았기 때문에 앤트로픽의 발표를 확정 사실로 받아들이기보다는 신중하게 접근할 필요가 있다고 생각합니다. 즉, 위협은 분명히 커졌지만 세부 성능과 재현성에 대해서는 추가적인 검증이 필요하다고 생각합니다.
언급하기 대단히 조심스럽습니다만, 국내에서는 자체 개발 솔루션, 고도로 커스터마이징된 패키지 그리고 오래된 레거시 시스템을 함께 운용하는 기업들이 특히 취약할 가능성이 크다고 생각합니다. 이유는 명확합니다. 글로벌 표준 제품은 비교적 취약점 정보와 패치 체계가 잘 정리돼 있지만 개별 기업 환경에 맞게 변형된 시스템은 자산 목록조차 정확히 정리되지 않은 경우가 많고 패치 우선순위와 검증 체계도 느슨한 경우가 다수 존재합니다. 이런 환경에서는 AI가 숨어 있던 논리적 결함이나 권한 오남용 경로 등의 위협을 더 빠르게 찾을 수 있고 현실화 할 수 있는 가능성이 높다고 볼 수 있습니다.
특히 금융, 공공, 대규모 제조 분야는 위험도가 높을 것으로 예상됩니다. 이들 업종은 시스템이 복잡하게 연결돼 있고 중단 및 전환 비용이 커서 업데이트와 교체를 즉시 하기 어려운 것이 현실입니다. 그 결과 오래된 계정 체계, 레거시 프로토콜, 폐쇄망과 오픈망의 경계 영역, 공급망 연동 구간 등이 모두 취약점 관리의 사각지대로 남기 쉽습니다. 여기에 의료, 에너지, 교통 같은 사회기반 분야도 유사한 리스크가 존재한다고 볼 수 있습니다.
가장 시급한 대응은 “AI 보안 솔루션 하나 더 도입하자” 가 아닙니다. 진짜 과제는 보안 거버넌스의 혁신입니다. 미토스급 모델이 찾아내는 것은 단순한 코드의 오류나 취약성 뿐 아니라 정상 권한의 오남용, 프로세스 간 허점, 관리되지 않는 예외 경로 같은 논리적 맹점까지 포함하기 때문입니다. 따라서 기술 도입만으로는 충분하지 않고 권한 구조, 업무 흐름, 자산 관리, 패치 프로세스 등 업무 전반을 다시 설계할 필요가 있습니다.
여기서 가장 중요한 원칙 중 하나가 제로트러스트(Zero Trust)입니다. 제로트러스트는 “어떠한 사용자나 시스템도 신뢰하지 않고 매 접근(요청)마다 검증하는 방식”에 대한 체계입니다. 쉽게 말해 “한 번 로그인했으니 계속 신뢰”가 아니라, 누가·어디서·무엇에·왜 접근하는지 계속 확인하는 체계가 필요하다는 의미이며 레거시 환경일수록 이 원칙이 더욱 중요합니다.
함께 필요한 것이 GRC(거버넌스·리스크·컴플라이언스) 자동화입니다. 현재도 사람이 모든 자산과 리스크를 수작업으로 관리하는 것은 불가능합니다. 자산의 가시성 확보, 권한 검증, 이상행위 탐지, 취약점 우선순위, 패치 정책 관리, 예외 승인 이력 등을 자동화해야 위협에 대한 대응 속도를 끌어올릴 수 있습니다.
결국 “AI의 공격은 AI로 막아야 한다”라는 말은 절반만 맞는 이야기 입니다. 더 정확히는 AI 기반의 방어와 함께 조직의 보안 운영 체계를 AI의 속도에 맞게 바꿔야 한다는 것이 더 정확한 답변이라고 할 수 있습니다. 이를 바탕으로 지금 당장 고려해야 하는 4가지 대안을 제안하고 싶습니다.
미토스와 프로젝트 글래스윙이 던진 메시지는 분명합니다. 앞으로의 보안 위협은 더 빠르고 더 광범위하고 더 치밀하게 확산될 가능성이 큽니다. 중요한 것은 특정 모델 하나를 두려워하는 것이 아니라 우리 조직의 시스템과 프로세스가 그런 속도와 정교함을 감당할 수 있는 구조인지를 점검하는 일입니다.
지금 필요한 것은 과장된 공포가 아니라 냉정한 준비일 것입니다. 위협은 이미 가시화되고 있고 방어는 더 이상 보안 솔루션 한 두 개의 문제가 아니라 거버넌스, 권한, 자산, 운영 속도의 문제로 옮겨가고 있습니다. 결국 AI 시대의 보안 경쟁력은 “취약점을 발견하는 능력” 보다 발견된 위험을 얼마나 빨리 이해하고 통제하며 수정하느냐에서 갈리게 될 것입니다.
지니언스 전략마케팅실을 담당하고 있습니다. 회사의 성장전략을 수립하고 실행합니다.