AI가 해킹 도구가 되는 시대, Claude Mytho - 브런치

보고서: The “AI Vulnerability Storm” 2026년 4월, Anthropic이 한 가지 공개 발표를 하였습니다. 새로운 AI 모델인 Claude Mythos Preview가 주요 운영체제와 웹 브라우저에서 수천 건의 취약점을 자동으로 발견했다는 것입니다. 더 놀라운 건 Firefox에서만 181개의 익스플로잇(exploit)을 생성했다는 사실입니다. 이 소식은 보안 전문가들 사이에서 즉각 파장을 일으켰습니다. Cloud Security Alliance(CSA), SANS Institute, OWASP Gen AI Security Project가 긴급하게 협력하여 보고서를 완성했으며, 250명 이상의 CISO(최고정보보안책임자)가 실시간으로 검토에 참여하였습니다. 취약점 발견부터 공격(무기화)까지 걸리는 시간이 몇 시간으로 영구적으로 가속화되었다고 얘기하고 있습니다. AI가 취약점 탐지에 활용되는 건 분명 강력한 방어 도구가 될 수 있습니다. 지난번 글에서 말씀드린 것처럼 공격과 방어는 같은 코드에서 시작합니다. 구글의 Big Sleep 프로젝트는 2025년 8월 오픈소스 프로젝트에서 20개의 실제 제로데이 취약점을 인간 도움 없이 자동으로 발견하였고, DARPA의 AIxCC 대회에서는 54시간의 컴퓨팅으로 5,400만 줄의 코드에서 54개의 취약점을 찾아냈습니다. 이른바 AI 기반 펜 테스팅(침투 테스트)의 시대가 열린 것입니다. 이전에는 수십 명의 전문 보안 연구원이 수개월에 걸쳐 해야 할 작업을 AI가 며칠, 혹은 몇 시간 안에 처리한다는 것을 보고서는 "공격자보다 먼저 자신의 약점을 발견할 기회"라고 표현하고 있습니다. Anthropic이 Mythos를 통해 Project Glasswing을 출범시킨 것도 같은 맥락입니다. Apple, AWS, Microsoft 등 주요 기업에 사전 접근권을 줘서, 공격자보다 먼저 자사 소프트웨어의 취약점을 파악하게 하는 것입니다. 문제는 시간의 비대칭성입니다. AI가 취약점을 찾는 속도는 기하급수적으로 빨라졌지만, 패치(보안 수정)를 적용하는 속도는 그 뒤를 따라가지 못하고 있습니다. 보고서는 이 간극을 "방어자의 무거운 짐(defenders still face a heavier relative burden)"이라고 표현하고 있습니다. 보고서가 소개하는 Zero Day Clock 데이터는 더 직관적입니다. 취약점 공개부터 실제 익스플로잇 개발까지 걸리는 시간이 2018년 약 2.3년에서 2026년에는 20시간 이하로 줄어 들었다는 것입니다. 보고서가 특히 주목한 지점은 인간 비용(human cost)입니다. 대응해야 할 취약점 보고서 물량, 출시하는 코드 양, 그리고 공격 표면 자체가 함께 늘어나고 있어 보안팀은 이미 한계에 몰려 업무량이 기하급수적으로 증가하는 구조라는 것입니다. 보고서 결론에서 저자들은 Y2K를 소환하고 있습니다. 2000년 밀레니엄 버그도 시스템적 위협이었고, 마감 기한이 있었으며, 산업 전체가 조율된 노력으로 대응하였고, 이것도 같은 종류의 문제이며, 다만 방어자 손에 더 강력한 도구가 있다는 차이가 있을 뿐이라고 마무리하고 있습니다. 끝. #미토스 #AIVulnerabilityStorm #Xdots #VulnerabilityStorm The “AI Vulnerability Storm”: Building a “Mythosready” Security Program 보고서 다운: https://labs.cloudsecurityalliance.org/mythos-ciso/