앤트로픽의 AI 모델 ‘미토스’가 등장한 이후 전 세계 사이버보안 질서가 흔들리고 있습니다. 백악관·영국·캐나다 정부가 긴급 대응에 나섰고, 아마존 베드록(AWS)을 통한 제한적 기업 출시가 시작됐습니다.
AI 공격 자동화가 ‘준비 단계’를 넘어 현실화하면서, 기존 ‘탐지 범위’ 중심의 보안 패러다임 자체가 무너지고 있습니다.
오늘의 최신 뉴스 — AWS 베드록 제한 출시 시작
아마존 웹 서비스(AWS)가 4월 13일 주간 라운드업을 통해 클로드 미토스 프리뷰가 아마존 베드록(Amazon Bedrock)에서 이용 가능해졌다고 발표했습니다.
이로써 앤트로픽의 최신 AI 모델인 클로드 미토스는 아마존 베드록과 구글 클라우드 버텍스 AI 양쪽 클라우드 플랫폼에서 접근할 수 있게 됐습니다. Aimatters
단, 아무나 쓸 수 있는 것이 아닙니다. 해당 모델은 ‘게이티드 리서치 프리뷰(Gated Research Preview)’ 형태로만 제공되며, 접근 요청 심사를 거쳐 승인된 조직에 한해 사용이 가능합니다. Aimatters
왜 이렇게 세계가 긴장하나
미토스의 핵심 능력
미토스는 주요 운영체제와 웹 브라우저 전반에서 수천 건의 심각한 취약점을 탐지하고 일부 취약점에서 공격 코드까지 도출할 수 있는 수준에 도달한 것으로 나타났습니다. Epnc
앤트로픽은 미토스가 소프트웨어 취약점을 발견하는 데 있어 최고숙련자들을 제외한 대부분의 사람을 능가하게 됐다고 설명했습니다.
사이버보안 취약점 재현 성능지표인 ‘사이버짐’ 평가에서 미토스 프리뷰의 점수는 83.1%를 기록해 앤트로픽의 기존 최상위 모델인 ‘오퍼스 4.6’의 66.6%를 상당한 격차로 뛰어넘었습니다. Koreancenter
미토스는 방화벽 및 기타 중요 인프라를 운영하는 데 사용되는 OpenBSD에서 27년 된 취약점을 발견했고, 수많은 소프트웨어에서 비디오 인코딩 및 디코딩에 사용되는 FFmpeg에서도 16년 된 취약점을 발견했습니다. Epnc
충격적인 비용 구조
약 2만 달러 규모의 미토스 취약점 탐지 캠페인이 불과 몇 시간 만에 이뤄질 수 있다는 점도 강조됐습니다.
즉, 과거라면 국가 차원에서 수개월간 수행할 연구 작업을 민간 기업이 대체한 것으로, AI 등장으로 공격 역량의 시간과 비용 구조 자체가 근본적으로 바뀌고 있다는 의미입니다. ZDNet Korea
백악관까지 나섰다 — 전방위 긴급 대응
미국 국가 사이버 국장 션 케언크로스는 최근 여러 정부 기관 관계자들을 소집해 주요 기반시설의 보안 취약점을 식별하고, AI에 의해 악용될 수 있는 정부 시스템을 강화하는 대응을 주도했습니다.
WSJ는 “AI 위험성이 트럼프 행정부의 핵심 정책 우선순위로 부상하고 있음을 보여준다”고 설명했습니다. ZDNet Korea
밴스 부통령과 베센트 재무장관도 앤트로픽 CEO 다리오 아모데이, 오픈AI CEO 샘 올트먼, 마이크로소프트 CEO 사티아 나델라, 구글 CEO 순다르 피차이 등 주요 기술 기업 경영진과 통화 회의를 했으며,
크라우드스트라이크와 팔로알토네트웍스 등 사이버보안 기업 대표들도 참여했습니다. ZDNet Korea
윌스트리트저널은 11일(현지시각) 미국 정부가 국가 핵심 기반 시설의 보안 취약점을 파악하고 정부 시스템을 강화하고 있다고 보도했으며,
파이낸셜타임스도 영국이 사이버보안 전담기관과 금융권을 중심으로 관련 대응 역량 점검에 나섰다고 보도했습니다. Epnc
금융권도 즉각 반응했습니다. 골드만삭스의 데이비드 솔로몬, 뱅크오브아메리카의 브라이언 모이니한, 웰스파고의 찰리 샤프 등 대형 은행 CEO들도 지난주 워싱턴에서 정기 회의를 하던 중,
미토스 등 유사 AI 모델이 초래할 수 있는 위험에 대해 베센트 장관의 요청으로 긴급 논의를 가졌습니다. ZDNet Korea
보안 패러다임의 근본적 전환
미토스가 던진 가장 중요한 메시지는 AI 취약점 하나가 아니라, 보안을 바라보는 시각 자체가 바뀌어야 한다는 것입니다.
이번 미토스 사건은 보안의 개념을 현재와 같은 ‘탐지 범위(coverage)’ 중심에서 ‘취약점 간 상호작용(interaction)’으로 전환해야 함을 전 세계에 시사했습니다. ZDNet Korea
한 전문가는 “미토스는 단순히 지금까지 발견되지 않은 버그를 찾아내고 있는 것이 아니다. 취약점들이 서로 독립적으로 존재한다는 기존의 가정 자체를 무너뜨리고 있다”고 밝혔습니다. ZDNet Korea
구체적으로는 세 가지 전환이 필요합니다. 취약점 목록 중심 관리에서 취약점 그래프 기반 관리로 이동해야 하고, 개별 취약점의 우선순위를 정하는 대신 공격 경로를 끊는 지점을 중심으로 대응 전략을 세워야 한다는 지적입니다. ZDNet Korea
AI 기반 사이버공격, 지금 얼마나 빨라졌나
크라우드스트라이크의 2026년 글로벌 위협 보고서에 따르면 매 29분마다 사이버공격(eCrime)이 일어나며, 이는 2024년 대비 65% 빨라졌습니다. 특히 AI 기반 공격은 전년 대비 89% 증가했습니다. ZDNet Korea
크라우드스트라이크 CTO는 “에이전틱 AI를 활용하는 공격자들은 공격을 매우 빠른 속도로 수행할 수 있기 때문에, 기존처럼 사람이 경보를 확인하고 분류한 뒤 15~20분 동안 조사하고,
그 후 한 시간 뒤나 하루 뒤, 혹은 일주일 뒤에 대응 조치를 취하는 전통적인 방식으로는 더 이상 충분하지 않다”고 말했습니다. ZDNet Korea
아직 AI가 혼자 공격을 수행할 수 있는 수준은 아니지만, 공격을 준비하는 과정에서 상당 부분 자동화된 단계에 근접했다는 평가입니다. Epnc
방어자에게 기회가 될 수 있다
물론 미토스가 위협만을 의미하는 것은 아닙니다.
노스웨스턴대 컴퓨터과학자 V.S. 수브라마니안은 “미토스 등장은 악의적 공격자보다 앞서 나갈 수 있는 기회로 본다. 이제 우리는 시스템에 존재할 수 있는 취약점을 미리 찾아낼 수 있는 능력을 갖게 됐다”고 진단했습니다. ZDNet Korea
기업 고객 입장에서는 클로드 미토스의 보안 능력이 매우 매력적입니다. 특히 금융, 의료, 통신 등 보안이 최우선인 산업에서, AI를 통한 자동 취약점 탐지는 사이버보안 투자의 효율성을 크게 높일 수 있습니다. Aimatters
중국 위협과 경쟁사 대응
미토스 등장을 놓고 미국 일각에서는 중국을 우려하는 목소리도 나왔습니다. 수브라마니안 교수는 “중국의 사이버 역량은 매우 강력하다.
벌써 앤트로픽을 오래전에 해킹했을 가능성이 있다. 이미 비슷한 기술을 확보했거나 곧 확보할 수 있다고 생각한다”고 말했습니다. ZDNet Korea
앤트로픽 CEO 다리오 아모데이는 경쟁사들이 미토스 수준에 도달하는 데 6~18개월 정도밖에 걸리지 않을 것이라고 말한 바 있습니다. ZDNet Korea
오픈AI도 대응에 나섰습니다. 오픈AI는 앤트로픽의 클로드 미토스와 경쟁할 수 있는 사이버보안 특화 모델을 출시할 계획입니다.
고급 해킹 및 방어 기능을 수행하도록 설계된 이 AI 사이버보안 모델은 ‘트러스티드 액세스 포 사이버(Trusted Access for Cyber)’ 시범 프로그램을 통해 소수의 기업에 공개될 예정입니다. Benzinga
앞으로의 핵심 일정 — 7월과 8월
크라우드스트라이크 CEO 조지 쿠르츠는 두 가지 측면에서의 시간 압박 현실을 짚었습니다.
먼저 7월의 글래스윙 취약점 공개가 있고, 이어 오는 8월 2일부터 EU AI Act가 시행되는데, AI Act는 고위험 AI 시스템에 대해 자동화된 감사 추적 체계 구축, 사이버보안 요구사항 준수, 사고 발생 시 보고 의무 등을 부과했고,
이를 위반할 경우 전 세계 매출의 최대 3%에 해당하는 벌금이 부과될 수 있다고 밝혔습니다. ZDNet Korea
국내 기업과 개인이 지금 해야 할 것
국내도 이러한 AI 공격 위협 대응에 나설 것으로 보입니다. 금융감독원은 국내 은행 등 금융사 정보 보안 담당 실무자들을 긴급 소집해 비공개 회의를 개최했습니다. Epnc
일반 기업과 개인 입장에서 지금 당장 확인해야 할 사항은 세 가지입니다.
① 패치 주기를 대폭 단축 — AI가 취약점 공개 후 수 시간 안에 익스플로잇 코드를 생성할 수 있습니다. ‘연 1회 패치’ 관행은 이제 위험합니다.
② 소프트웨어 공급망 전면 점검 — 미토스가 발견한 취약점 중 상당수는 오픈소스 라이브러리에 수십 년째 존재해 온 것들입니다. 내가 사용하는 소프트웨어의 의존성 목록을 확인하세요.
③ 보안 모니터링 자동화 투자 — 사람이 경보를 확인하는 방식으로는 더 이상 AI 기반 공격을 따라잡을 수 없습니다. 자동화된 탐지·대응 체계 도입을 서두러야 합니다.
마무리 — 사이버보안은 이제 AI의 싸움
비영리단체 AI Safety Center의 연구원 만타스 마제이카는 “이것(미토스 등장)은 AI가 초래하는 사이버 위험에 대해 전면적인 대응이 시작되는 초기 단계라고 볼 수 있다”고 짚었습니다. ZDNet Korea
방어자가 AI로 먼저 취약점을 찾아 막을 것인지, 공격자가 AI를 무기 삼아 더 빠르게 침투할 것인지. 미토스가 열어젖힌 이 새로운 사이버 전쟁은 이미 시작됐습니다.
7월 글래스윙 보고서 발표, 8월 EU AI Act 시행이라는 두 개의 변곡점이 다가오는 지금, 지금 이 순간이 준비할 수 있는 마지막 기회일 수 있습니다.
By
