Key Takeaways:
강력한 Mythos 모델에 대한 Anthropic의 정책 번복은 협력적 방어의 새로운 시대를 알리며, 취약한 사이버 보안 부문이 인간 주도의 대응을 앞지르는 AI 기반 위협에 대처하도록 강요하고 있습니다.
Anthropic은 강력한 Mythos AI 모델에 대한 핵심 정책을 변경하여, 독점적인 '프로젝트 글래스윙(Project Glasswing)'에 참여하는 약 50개 기업이 외부 기관과 위협 인텔리전스를 공유할 수 있도록 허용했습니다. 초기 비밀 유지 계약에서의 이러한 중대한 변화는 AI가 발견한 취약점을 차단하는 것이 국가 주요 인프라를 위험에 빠뜨릴 수 있다는 미국 의원들의 우려에 따른 것입니다.
월스트리트저널(WSJ)에 따르면, 하우스 민주당 AI 위원회 공동 의장인 Josh Gottheimer(민주당, 뉴저지) 의원은 Anthropic에 보낸 서한에서 "어떤 실체도 타인에게 경고하거나 완화 조치를 조율하거나, 신뢰할 수 있는 관련 이해관계자에게 긴급한 사이버 위험을 알리는 것을 계약상 제한받아서는 안 된다"고 썼습니다.
초기 정책은 Mythos를 사용하는 대기업과 주요 인프라 운영자가 발견 사항을 기밀로 유지하도록 요구했습니다. 지난주 Anthropic은 이러한 파트너들에게 이제 사이버 위협 및 Mythos의 발견 사항에 대한 정보를 책임 있게 공유할 수 있다고 알리기 시작했습니다. 이러한 변화는 Palo Alto Networks와 Mozilla와 같은 회사들이 모델의 효과를 공개하기 시작한 시점에 이루어졌으며, Mozilla는 Mythos가 Firefox 브라우저에서 단 한 번의 실행으로 271개의 취약점을 발견했다고 언급했습니다.
Anthropic의 정책을 둘러싼 논쟁은 기술 부문 전체가 직면한 핵심 과제를 강조합니다. 바로 전례 없는 규모로 디지털 시스템을 구축하고 파괴할 수 있는 AI 도구의 배포를 어떻게 관리할 것인가 하는 점입니다. Mythos와 같은 모델의 기능은 일부 사이버 보안 전문가들이 '버그마게돈(Bugmageddon)'이라 부르는 현상을 부추기고 있습니다. 이는 AI가 주도하는 취약점 발견의 홍수가 인간 주도의 패치 및 네트워크 방어 프로세스를 압도할 위협이 되고 있음을 의미합니다.
복잡한 소프트웨어 버그를 악용하는 것이 희귀한 기술이라는 가설은 무너지고 있습니다. 최근 구글 보고서에 따르면, 전체 공격 체인은 "점점 더 소프트웨어에 의해 정의되고 그 어느 때보다 빠르고 저렴하게 실행되고 있습니다." 이러한 트렌드는 단순히 해킹 시도를 늘리는 것을 넘어 해킹의 산업화로 이어지고 있습니다. CrowdStrike는 2025년 AI 기반 공격 작전이 전년 대비 89% 증가했다고 기록했으며, 이는 AI의 도움 없이는 불가능한 템포입니다.
이러한 변화의 속도는 경이롭습니다. 패치 출시부터 작동하는 익스플로잇이 나타날 때까지의 시간을 추적하는 Zero Day Clock 프로젝트는 평균 시간이 2018년 2.3년에서 2026년에는 단 20시간으로 단축되는 것을 확인했습니다. AI의 '패치 디프(patch-diff)' 및 수정 사항 역공학 능력에 의한 이러한 가속화는 조직이 결함을 수정할 수 있는 시간을 거의 불가능할 정도로 짧게 만듭니다.
외교협회(CFR)의 최근 분석에 따르면, AI의 확산은 지난 30년 동안 사이버 보안을 지탱해 온 세 가지 핵심 가설을 스트레스 테스트하고 있습니다. 첫째는 정교한 공격이 비용이 많이 든다는 점이었으나 AI는 이를 저렴하게 만들었습니다. 둘째는 인간을 위해 구축된 신원 시스템이 비인간 에이전트를 관리할 수 있다는 점이었으나 자동화된 에이전트가 의도치 않은 결과로 행동하기 시작하면서 이는 사실이 아님을 입증하고 있습니다.
마지막이자 가장 미묘한 균열은 최후의 보루로서의 인간의 판단이 제거되고 있다는 점입니다. 분석가가 예전에는 이상 징후에 멈춰 섰을 수도 있었던 곳에서, 이제 조직들은 기계 속도로 작동하기 위해 검토와 승인을 자동화하고 있습니다. 이는 가장 필요한 순간에 중요하지만 비공식적인 방어 계층을 제거하는 결과를 낳습니다.
Anthropic의 폭넓은 위협 공유 허용 결정은 이러한 새로운 현실에 대한 암묵적인 인정입니다. 투자자들에게 이 조치는 사이버 보안 환경의 영구적인 변화를 시사합니다. Mythos의 기능이 처음 발표되었을 때 사이버 보안 주식은 하락하며 AI가 보안 업무를 범용화(commoditize)할 것이라는 우려를 반영했습니다. 하지만 현실은 더 복잡합니다. AI가 공격을 자동화하는 동안 정교한 AI 기반 방어와 견고한 거버넌스 프레임워크에 대한 수요는 새로운 고위험 시장을 창출하고 있습니다. 정책 변화는 Anthropic과 OpenAI와 같은 AI 리더들의 규제 준수 비용을 증가시킬 수 있지만, 공격자와 방어자 모두가 기계 속도로 작동하는 세상에 적응해야 하는 사이버 보안 부문 전체의 가치를 강화합니다.
이 기사는 정보 제공만을 목적으로 하며 투자 조언을 구성하지 않습니다.
