Anthropic, ‘너무 강력해서 공개 못 하는’ AI 모델로 사이버보안 프로젝트 가동

Anthropic이 Claude Mythos Preview라는 새 AI 모델을 발표했는데, 일반에 공개하지 않겠다고 선언했다. 이유가 독특하다. 소프트웨어 취약점을 찾고 공격하는 능력이 너무 뛰어나서, 공개하면 사이버보안에 심각한 위협이 될 수 있다는 것이다.

실제 성과가 이 판단을 뒷받침한다. The Hacker News 보도에 따르면, Claude Mythos Preview는 모든 주요 운영체제와 주요 웹 브라우저에서 수천 개의 제로데이 취약점{{zero-day-vulnerability}}(zero-day vulnerability, 개발사도 모르던 보안 허점)을 찾아냈다. 그중에는 FreeBSD에서 17년간 숨어있던 원격 코드 실행 취약점(CVE-2026-4747)도 포함된다. 이 취약점을 통하면 NFS를 실행하는 서버의 루트 권한을 완전히 탈취할 수 있었다. AI가 자율적으로 이런 취약점을 발견하고 실제 공격까지 시연한 것이다.

Anthropic은 이 모델을 방어 목적으로만 활용하기 위해 Project Glasswing이라는 이니셔티브를 시작했다. AWS, Apple, Google, Microsoft, NVIDIA, CrowdStrike, Palo Alto Networks 등 약 40개 이상의 기업 및 기관이 파트너로 참여한다. Linux Foundation을 통해 오픈소스 보안에도 투자하는데, 1억 달러(약 1,400억 원) 규모의 모델 사용 크레딧을 제공하고, Alpha-Omega와 OpenSSF에 250만 달러, Apache Software Foundation에 150만 달러를 기부했다.

이 접근 방식에 대해선 의견이 갈린다. “방어자가 먼저 준비할 시간을 벌어주는 것”이라는 긍정적 시각이 있는 반면, “결국 이 수준의 능력이 다른 모델에서도 나타날 텐데 한 회사가 독점적으로 관리하는 게 맞느냐”는 우려도 있다. Platformer에서는 사이버보안 전문가들 사이에서 상당한 긴장감이 감돈다고 보도했다.

AI가 공격 도구로도, 방어 도구로도 쓰일 수 있다는 건 이론적으로만 알던 이야기였다. 이번 사례는 그것이 현실이 되었다는 걸 보여준다. 한국 기업과 공공기관도 AI 기반 보안 위협에 대비한 전략을 본격적으로 고민해야 할 시점이다.