AI가 27년 묵은 보안 구멍을 뚫었다

Claude Mythos가 해낸 일, 보안 업계가 발칵 뒤집혔다

솔직히 말하면, 처음 이 소식 접했을 때 "설마 진짜?"라는 생각이 먼저 들었어요. Anthropic이 공개한 Claude Mythos Preview가 27년이나 세상에 숨어있던 보안 취약점을 사람 손 하나 안 빌리고 스스로 찾아냈다는 겁니다. 그것도 전 세계 보안 전문가들이 "난공불락"이라고 치켜세우던 OpenBSD 운영체제에서요. 2026년 4월 현재, AI와 사이버보안의 교차점이 어디까지 왔는지를 단적으로 보여주는 사건이라 생각합니다. 오늘은 Mythos가 정확히 무엇을 했는지, 그리고 이게 왜 중요한지를 차근차근 짚어보겠습니다.

목차

• Claude Mythos란 무엇인가 — 갑자기 등장한 이유
• 27년 묵은 OpenBSD 취약점, 어떻게 찾아냈나
• 보안 능력이 '부산물'로 나왔다는 의미
• 방어자에겐 기회, 공격자에겐 무기 — 양날의 검
• OHMY개미의 한 마디

Claude Mythos란 무엇인가 — 갑자기 등장한 이유

Anthropic이 공개한 Claude Mythos Preview는 공식 발표 전에 이미 3월에 한 차례 실수로 유출되며 업계의 관심을 모은 바 있습니다. 당시 "너무 강력해서 아직 내보낼 수 없다"는 표현이 돌았는데, 4월에 이르러 제한 공개 형태로 정식 등장했습니다. AI 역사상 처음으로 '능력이 너무 세서 제한 출시'를 선언한 모델이라는 점에서 업계의 시선이 집중됐죠.

Mythos가 특별한 이유는 사이버보안 전용 모델이 아니라는 데 있습니다. 범용 AI 모델인데, 코딩 추론 능력이 극도로 정교해지면서 보안 역량이 자연스럽게 딸려왔다는 게 Anthropic의 설명입니다. Anthropic 스스로 "사이버를 가르친 적 없는데, 코드를 가르쳤더니 사이버까지 잘한다"고 인정했을 정도예요. 이 발언 하나가 현재 AI 개발의 방향을 꽤 함축적으로 설명해줍니다.

현재 Mythos Preview는 Google Cloud의 Vertex AI를 통해 일부 엔터프라이즈 고객에게 제한적으로 제공되고 있습니다. 일반 사용자에게 전면 개방하지 않은 건 명확한 이유가 있는데, 바로 이 모델이 악의적으로 사용될 경우 실제 사이버 공격에 악용될 수 있는 수준의 능력을 갖추고 있기 때문입니다.

출처: Pexels (royalty-free)

27년 묵은 OpenBSD 취약점, 어떻게 찾아냈나

OpenBSD는 그냥 운영체제가 아닙니다. 전 세계 주요 서버, 방화벽, 라우터에 사용되는 보안 특화 시스템으로, 수십 년간 보안 커뮤니티에서 "가장 안전한 OS" 중 하나로 꼽혀왔어요. 그 OpenBSD에서 1999년부터 존재했던 취약점이 이번에 처음 발견됐다는 겁니다. 27년입니다, 27년. 그동안 수많은 보안 연구자들이 코드를 검토했고, 자동화 테스트 도구들이 수백만 번 검사를 돌렸지만 아무도 못 잡은 걸 Mythos가 자율적으로 잡아냈습니다.

더 놀라운 사례도 있습니다. 영상 처리 오픈소스인 FFmpeg에 숨어있던 16년 된 버그인데요, 자동화 퍼징 테스트 도구가 500만 번 이상 반복 검사하고도 놓쳤던 걸 Mythos가 발견해냈습니다. 그리고 FreeBSD에서는 17년간 패치되지 않은 원격 코드 실행 취약점까지 찾아냈는데, 인증 없이 서버 관리자 권한을 통째로 탈취할 수 있는 수준의 결함이었습니다. 이 모든 과정에서 인간의 개입은 0(제로)이었고, 비용은 $1,000 미만(약 140만 원)이었다고 알려졌습니다.

“ "발견 속도가 수리 속도를 앞질러버린 지금, 기업 보안 팀의 패치 주기를 극단적으로 단축하지 않으면 AI가 찾아낸 취약점은 언제든 공격자의 손으로 넘어갈 수 있다."

Mythos가 수행하는 작업은 크게 세 가지 유형으로 나뉩니다. 제로데이 익스플로잇: 실제 오픈소스 코드베이스에서 아무도 모르던 취약점을 찾아 공격 코드까지 자동 생성. N-day 전환: 클로즈드 소스 소프트웨어를 역공학 분석해 알려졌지만 패치 안 된 취약점을 실제 공격 가능한 형태로 변환. 논리 취약점 탐지: 인증 우회, 관리자 권한 탈취, 서비스 거부 공격 경로 자동 발견. 이 세 가지를 자율로 수행한다는 게 핵심입니다.

출처: Pexels (royalty-free)

보안 능력이 '부산물'로 나왔다는 의미

Anthropic의 공식 입장 중 가장 주목해야 할 부분이 바로 이겁니다. Mythos의 사이버 공격 능력은 의도적으로 학습시킨 것이 아니라는 점이에요. 코드 추론 능력과 자율적 문제 해결 역량을 높이다 보니, 그 연장선상에서 보안 취약점 발견·익스플로잇 능력이 자연스럽게 출현했다는 겁니다.

이 현상은 AI 분야에서 '창발(emergence)'이라고 부르는 것과 맥이 닿아 있습니다. 특정 능력을 명시적으로 가르치지 않아도, 모델의 전반적인 추론 수준이 임계점을 넘으면 예상치 못한 역량이 나타나는 거죠. Mythos의 경우 그 창발이 하필 사이버보안이라는 극도로 민감한 영역에서 나타났습니다.

이 사실이 시사하는 바는 단순하지 않아요. 앞으로 더 강력한 범용 AI 모델이 등장할수록, 우리가 의도하지 않은 방향의 능력이 함께 강해질 수 있다는 의미이기도 합니다. 실제로 현재 주요 운영체제와 주요 웹 브라우저에 걸쳐 수천 개의 제로데이 취약점이 이미 AI에 의해 발견된 상태이며, 이 중 99% 이상이 아직 패치되지 않은 채로 방치돼 있다는 보고가 나왔습니다. 발견 속도가 수리 속도를 이미 앞서버린 겁니다.

중국의 GLM-5.1 같은 모델도 장시간 에이전트 작업에서 일관된 성능을 유지하는 방향으로 발전하고 있고, DeepMind의 Demis Hassabis는 "LLM은 미래 AGI 시스템의 핵심 부품이 될 것인지, 아니면 시스템 전부가 될 것인지가 진짜 질문"이라고 언급한 바 있습니다. AI 역량 경쟁이 단순한 벤치마크 싸움을 넘어서고 있는 시점입니다.

출처: Pexels (royalty-free)

방어자에겐 기회, 공격자에겐 무기 — 양날의 검

Anthropic은 Mythos를 발표하면서 이 모델이 '공격자'보다 '방어자'에게 먼저 유리하게 사용돼야 한다고 강조했습니다. 취약점을 찾아내는 속도가 기존 보안 연구자의 수십 배에 달하기 때문에, 기업이 선제적으로 Mythos 같은 AI를 활용해 자체 시스템의 구멍을 먼저 발견하고 패치하는 사이클을 구축해야 한다는 논리입니다.

CrowdStrike 같은 사이버보안 기업들도 이미 이 방향으로 접근하고 있습니다. Mythos 수준의 AI 역량과 엔터프라이즈급 위협 가시성을 결합하면 기계 속도로 위협을 탐지하고 차단하는 체계를 구현할 수 있다고 봅니다. AI 보안 도구 시장이 새로운 성장 축으로 떠오르는 이유가 여기 있습니다.

“ "Mythos는 취약점을 막는 능력과 뚫는 능력을 동시에 갖춘 첫 번째 범용 AI다. 어느 쪽에 먼저 쓰이느냐가 앞으로의 사이버 지형을 결정한다." — SecurityWeek 보도 기반

하지만 우려도 분명 존재합니다. N-day 취약점 문제가 특히 심각한데요, 패치가 이미 배포됐더라도 수많은 기업과 개인이 업데이트를 미루는 사이에 AI가 그 구멍을 실시간으로 파고드는 공격 시나리오가 현실화될 수 있습니다. 보안 패치 업데이트를 "나중에 해야지"로 미루는 습관이 이제는 과거보다 훨씬 위험해진 겁니다. 전문가들 사이에선 기업 보안 팀의 패치 배포 주기를 기존 수주 단위에서 수일 혹은 수시간 단위로 극단적으로 압축해야 한다는 목소리도 나오고 있습니다.

투자자 관점에서도 흥미로운 지점입니다. Anthropic을 비롯한 AI 프론티어 모델 기업들, 그리고 CrowdStrike·Palo Alto Networks 같은 사이버보안 기업들 모두 이 흐름의 수혜 혹은 영향권에 놓여 있습니다. AI 보안 역량이 기업의 핵심 경쟁력으로 자리잡는 속도가 예상보다 빨라지고 있다는 점은 분명해 보입니다.

출처: Pexels (royalty-free)

OHMY개미의 한 마디

여러분, 이번 Claude Mythos 이슈를 정리하다 보니 한 가지가 계속 머릿속에 맴돌았습니다. 27년, 16년, 17년. 인류가 발견 못 한 취약점들을 AI가 며칠 만에 뚫어버렸다는 사실이요. 이게 단순히 "AI 또 잘한다"의 차원이 아니라, 사이버보안이라는 산업 자체의 판이 바뀌고 있다는 신호로 읽힙니다.

특히 주목되는 건 능력이 의도치 않게 '창발'했다는 부분입니다. 앞으로 AI 모델의 성능이 올라갈수록 우리가 예상하지 못한 영역에서의 역량이 함께 올라올 가능성이 높습니다. 이는 AI 기업들의 책임 있는 공개 정책이 왜 점점 중요해지는지를 잘 보여주는 사례이기도 하죠.

시장 전체적으로는 AI 보안 플랫폼 수요가 빠르게 확대되는 국면입니다. 기업들이 AI를 이용해 자체 방어 체계를 재구축하려는 움직임이 가속화될수록, 관련 기술 기업들에 대한 시장의 관심도 커지겠죠. 과연 이 흐름이 어디까지 이어질지, 함께 지켜봐요.

출처: Pexels (royalty-free)

#Claude Mythos#AI 사이버보안#제로데이 취약점#Anthropic AI#AI 보안주

투자 유의사항
본 글은 정보 제공 목적으로 작성되었으며, 특정 종목에 대한 투자 권유가 아닙니다. 투자 판단과 그에 따른 결과는 투자자 본인에게 있으며, 본 블로그는 어떠한 투자 손실에 대해서도 책임을 지지 않습니다. 주식 투자는 원금 손실의 위험이 있으므로 신중하게 판단하시기 바랍니다.

© OHMY개미 | 본 콘텐츠의 무단 복제 및 배포를 금합니다. | 이미지 출처: Pexels (royalty-free)