“약점을 찾아 침투하라.”
단 한 줄의 명령어가 27년간 검증된 운영체제 보안을 무너뜨렸다. 지난주 앤트로픽이 공개한 AI 모델 미토스(Claude Mythos Preview)가 오픈BSD에서 27년 동안 발견되지 않았던 버그를 단 몇 분 만에 찾아냈다. 이 소식이 전해지자 크라우드스트라이크와 팔로알토 네트웍스 주가가 7%씩 급락했다. 지스케일러도 8.6% 하락했다. 수십 억 달러 규모의 보안 기업들이 하루 만에 흔들렸다.
나는 이 뉴스를 처음 봤을 때 보안 시장 뉴스로 읽지 않았다. 에이전트 아키텍처를 설계하는 사람으로서, 이건 에이전트 시스템 설계 전체에 관한 이야기로 읽혔다. 자율적으로 취약점을 찾고 공격 코드를 생성하는 에이전트가 현실이 됐다면, 기존 보안 설계의 전제가 무너진 것이고, 에이전트 시스템을 만드는 방식 자체도 달라져야 한다.
오늘은 미토스가 정확히 무엇인지, 어떤 기술적 의미를 가지는지, 그리고 에이전트를 설계하는 입장에서 이 상황이 무엇을 요구하는지를 짚어본다.
미토스는 무엇이고, 왜 다른가
앤트로픽이 4월 7일 공개한 미토스는 사이버보안 전용으로 훈련된 모델이 아니다. 코딩과 추론 능력 전반이 향상된 범용 프론티어 모델인데, 그 능력이 너무 강력해진 나머지 보안 침투 분야에서 인간 전문가를 압도하는 수준에 도달했다.
소프트웨어 엔지니어링 평가인 SWE-벤치 베리파이드에서 93.9%를 기록했다. 기존 최상위 모델 오퍼스 4.6의 80.8%를 훌쩍 넘는다. 수학 올림피아드에서 97.6%, 고난도 종합 벤치마크 HLE에서 56.8%. 기존 모델들과는 차원이 다른 추론 능력이다.
이 추론 능력이 보안 영역에서 어떻게 발현되는지가 충격적이다. 미토스는 단순히 코드를 분석하는 게 아니라 스스로 가설을 세우고 공격 경로를 설계하는 심층 추론 에이전트다. 기존 보안 툴이 잡아내지 못한 논리적 모순을 기계적 속도로 파고드는 능력을 갖췄다. WSJ의 표현을 빌리면, “단순한 코드 분석기가 아니라 스스로 가설을 세우고 공격 경로를 설계하는 심층 추론 에이전트”다.
수주 만에 수천 건의 제로데이 취약점을 발견했고, 탐지된 취약점 다수는 심각도가 높거나 발견이 까다로운 유형이었다. 기업 내 잘못 설정된 서버, 재사용 비밀번호, 오래된 소프트웨어가 섞인 네트워킹 환경의 취약점을 찾아내 내부 관리자로 침투하는 가상 공격을 단번에 수행했다는 보고도 나왔다.
여기서 기술적으로 중요한 포인트가 있다. 미토스가 이걸 할 수 있는 건 보안 전용 훈련 때문이 아니라, 일반 코딩과 추론 능력이 임계점을 넘었기 때문이다. 즉, 앞으로 나오는 모든 고성능 범용 AI 모델은 기본적으로 이 수준의 보안 침투 능력을 가질 수 있다는 의미다.
프로젝트 글래스윙 – 앤트로픽의 선택
앤트로픽은 미토스를 일반 공개하지 않기로 했다. 대신 ‘프로젝트 글래스윙’을 출범해 아마존, 애플, 브로드컴, 시스코, 구글, 마이크로소프트, 엔비디아, 크라우드스트라이크, 팔로알토 네트웍스, JP모건 등 12개 글로벌 기업과 기관에만 접근을 허용했다. 이후 약 40개 기업으로 확대됐다.
파트너사 자격 유지 조건이 독특하다. 미토스를 활용해 자사 소프트웨어와 시스템의 핵심 취약점을 찾아 수정하고, 90일 이내 결과를 외부 보고해야 한다. 방어 목적으로만 쓴다는 조건이다.
이 구조를 보면 앤트로픽의 판단이 보인다. “이 기술을 공개하면 공격자들이 즉시 악용한다. 그러나 공개 안 하면 방어자들이 준비할 수 없다. 따라서 방어자들에게만 먼저 주고, 그들이 시스템을 강화하는 시간을 번다.”
앤트로픽의 로건 그레이엄 프론티어 레드팀 리더가 인정한 것처럼, 이 접근법이 완전한 해법은 아니다. 6~12개월 내에 중국을 포함한 경쟁 국가들이 유사한 능력을 갖춘 모델을 광범위하게 배포할 수 있다. 미토스를 공개하지 않는다고 해서 이 수준의 자율 해킹 AI가 존재하지 않는 세상으로 돌아가지는 않는다.
그리고 오픈AI가 나흘 뒤인 4월 14일 GPT-5.4-사이버 모델을 공개했다. 소스코드 없이 실행 파일만으로 내부 로직을 분석하는 바이너리 역공학 능력을 갖췄다. “30년 된 보안 체계도 AI에게는 1분짜리 퍼즐에 불과하다”는 선언과 함께. 미토스의 방어적 선택과 달리, 오픈AI는 보안 전문가들이 쓸 수 있도록 공개했다.
자율 해킹 AI의 시대는 이미 문 앞에 와 있다. 아니, 이미 문 안으로 들어왔다.
에이전트 아키텍처 관점에서 이게 의미하는 것
LangGraph로 멀티에이전트 시스템을 설계하는 사람 입장에서 미토스가 어떤 능력을 보여주는지를 기술적으로 보면, 이게 왜 다른 차원인지 명확해진다.
기존 취약점 스캐너는 알려진 패턴을 찾는다. CVE 데이터베이스에 등록된 취약점 목록과 시스템을 대조해서 매칭되는 것을 리포트한다. 이건 검색 문제다.
미토스가 하는 건 추론 문제다. 코드의 논리 구조를 이해하고, 어떤 조건에서 어떤 경로로 의도치 않은 동작이 발생할 수 있는지를 추론한다. 알려지지 않은 취약점을 발견할 수 있는 건 이 때문이다. 27년 된 버그가 발견되지 않은 이유는 그게 패턴 매칭으로는 잡을 수 없는 논리적 엣지 케이스였기 때문이다.
LangGraph에서 에이전트가 작동하는 방식과 구조적으로 유사하다. 에이전트는 목표를 받으면 그 목표를 달성하기 위한 경로를 스스로 설계하고, 여러 도구를 순서대로 호출하며 진행 상황을 평가하고, 막히면 대안 경로를 찾는다. 미토스가 취약점을 찾는 방식도 이와 같다. “이 시스템에 침투하라”는 목표를 받으면, 가능한 공격 경로를 추론하고, 각 경로를 탐색하고, 성공하면 다음 단계로 진행하고, 실패하면 다른 경로를 시도한다.
이 구조가 방어 설계에 주는 시사점이 있다. 기존 보안은 경계를 지키는 방식이었다. 방화벽, 접근 제어, 패치 관리. 인가된 사용자와 비인가 사용자를 구분하고, 알려진 공격 패턴을 차단하는 구조다.
자율 해킹 에이전트는 이 경계 개념 자체를 무효화한다. 에이전트는 경계를 우회하는 새로운 경로를 스스로 찾는다. 알려진 패턴이 아니라 논리적 취약점을 찾기 때문에, 패턴 기반 방어가 막을 수 없다. 라온시큐어 CTO 김태진이 정확하게 짚은 것처럼, 미토스는 보안의 중심축을 취약점 대응에서 신원과 권한 통제로 이동시킨다.
AI 에이전트 시스템을 만들 때 지금 당장 달라져야 하는 것
이 상황이 에이전트 시스템을 설계하는 사람에게 직접적으로 요구하는 것들이 있다.
첫째, 최소 권한 원칙을 에이전트 설계의 핵심으로 삼아야 한다. LangGraph에서 에이전트가 도구를 호출할 때, 그 도구가 접근할 수 있는 시스템과 데이터의 범위를 최소화해야 한다. 구매 에이전트는 구매 관련 데이터에만, 재무 에이전트는 재무 데이터에만 접근해야 한다. MCP 권한 관리가 앤트로픽의 최근 제품 방향에서 계속 강조되는 이유가 바로 이것이다.
에이전트가 자율적으로 행동한다는 건 그 에이전트가 접근할 수 있는 모든 범위가 잠재적 공격 표면이 된다는 의미다. 에이전트에게 광범위한 시스템 접근 권한을 주는 건 편의성을 위해 공격 표면을 넓히는 트레이드오프다.
둘째, 에이전트의 행동 로그와 감사 추적이 필수다. 자율 해킹 AI가 현실화된 환경에서는 내부 에이전트가 침해됐을 때 어떤 행동을 했는지 추적할 수 있어야 한다. 에이전트가 어떤 도구를 어떤 순서로 호출했는지, 어떤 데이터에 접근했는지, 어떤 결정을 내렸는지가 기록으로 남아야 한다. 이 로그가 없으면 침해 후 대응이 불가능하다.
셋째, 에이전트 간 신뢰 모델을 명확히 해야 한다. 멀티에이전트 시스템에서 한 에이전트가 다른 에이전트를 호출할 때, 그 호출이 인가된 것인지 검증하는 구조가 필요하다. 자율 해킹 에이전트가 내부 시스템에 침투했을 때, 그 에이전트가 다른 에이전트인 척 행동할 수 있다. 이른바 에이전트 스푸핑이다.
실제로 앤트로픽이 작년 9월 누군가가 클로드를 매우 정교한 스파이 작전에 활용하고 있다는 걸 발견하고 조사에 착수했다는 사실은, 에이전트를 활용한 정교한 공격이 이미 진행 중이라는 신호다.
K-보안의 현실과 과제
한국 과기부가 4월 14일 긴급 현안점검회의를 열고 통신 3사와 주요 플랫폼사 CISO들을 소집한 것은 상황의 심각성을 보여준다. 금감원도 주요 금융사 정보보안 담당자들을 긴급 소집했다.
국내 보안 전문가들이 공통적으로 지적하는 건 레거시 문제다. 공공기관과 대기업을 중심으로 한 국내 보안 체계가 여전히 노후화된 레거시 환경에 머물러 있다는 것이다. 미토스가 찾아낸 수천 건의 취약점 상당수가 “오래된 소프트웨어”에서 나왔다는 점을 감안하면, 패치가 제때 이루어지지 않는 국내 공공 시스템이 특히 취약하다.
역설적으로 이번 사태가 국내 보안 업계에 기회가 될 수 있다는 시각도 있다. AI 기반 취약점 탐지 도구에 대한 수요가 폭발적으로 늘어날 것이고, 국내 보안 기업들이 이 영역으로 빠르게 움직인다면 시장이 열린다. 파수도 이 상황을 기회로 선언하며 AI 전문기업으로의 전환을 발표했다.
과기정통부 배경훈 부총리의 말이 이 상황을 정확하게 요약한다. “미토스 등 고성능 AI 기반 사이버보안 서비스의 등장은 보안 수준의 획기적 향상의 기회가 됨과 동시에 그것이 악용될 경우 큰 위험이 될 수 있음을 보여준다.”
방어자가 먼저 활용하면 방어 수준이 올라간다. 공격자가 먼저 활용하면 기존 방어가 무너진다. 이 타이밍 게임에서 한국이 어느 위치에 있느냐가 지금의 핵심 과제다.
마무리: 에이전트 군비 경쟁의 시작
미토스와 GPT-5.4-사이버의 잇따른 공개는 끝이 아니라 시작이다. 앤트로픽 CEO 다리오 아모데이는 경쟁사들이 미토스 수준에 도달하는 데 6~18개월 정도밖에 걸리지 않을 것이라고 했다. 크리스천 사이언스 모니터는 이를 “해커와 보안 기업 사이의 오랜 군비 경쟁이 핵 수준으로 격화됐다”고 표현했다.
에이전트가 단순히 업무를 자동화하는 도구에서 자율적으로 시스템을 탐색하고 침투하는 능력을 갖추게 됐다. 이건 에이전트 시스템을 설계하는 모든 사람이 인식해야 할 패러다임 전환이다.
방어 측에서는 AI를 활용해 자신의 시스템 취약점을 먼저 찾아야 한다. 에이전트에게 부여하는 권한을 최소화하고, 모든 행동을 추적하고, 에이전트 간 신뢰 검증을 명확히 해야 한다. 공격자가 미토스를 쓰기 전에 내 시스템에서 미토스가 찾아낼 구멍을 먼저 막는 것.
“취약점을 발견하는 게 아니라 고치는 게 목표다.” 프로젝트 글래스윙의 원칙이 지금 모든 에이전트 시스템 설계자에게 가장 현실적인 지침이다.