미국 재무장관과 연준 의장이 은행 CEO를 긴급 소집한 이유, Anthropic Mythos
스콧 베센트 재무장관과 제롬 파월 연준 의장이 월가 대형은행 CEO 5명을 긴급 소집했다. 원인은 Anthropic의 최신 AI 모델 Mythos가 발견한 수천 개의 제로데이 취약점.
27년 된 버그를 AI가 찾아냈고, 월가가 패닉에 빠졌다
4월 8일, 워싱턴 D.C. 재무부 청사에 이례적인 회의가 소집됐어. 스콧 베센트 재무장관과 제롬 파월 연방준비제도(연준) 의장이 미국 최대 은행 CEO 5명을 긴급 호출한 거야. 뱅크오브아메리카의 브라이언 모이니한, 시티그룹의 제인 프레이저, 골드만삭스의 데이비드 솔로몬, 모건스탠리의 테드 픽, 웰스파고의 찰리 샤프가 참석했어. JP모건의 제이미 다이먼만 일정상 불참했지.
이유는 하나야. Anthropic이 이번 주 제한 공개한 AI 모델 Mythos가 모든 주요 운영체제와 웹 브라우저에서 수천 개의 제로데이 취약점(zero-day vulnerability, 아직 아무도 몰랐던 보안 구멍)을 찾아냈기 때문이야.
가장 오래된 취약점은 OpenBSD에서 27년간 발견되지 않은 버그였어. 수십 년 동안 인간 보안 전문가들의 눈을 피한 결함을 AI가 찾아낸 거야.
이걸 이해하려면: Mythos는 어떤 모델인가
Anthropic의 Mythos Preview는 단순한 챗봇이 아니야. 이 모델은 소프트웨어 시스템의 취약점을 식별하고, 실제로 작동하는 공격 코드(exploit)까지 작성할 수 있는 사이버보안 특화 AI야.
숫자부터 보자.
| 벤치마크 | Mythos Preview | Claude Opus 4.6 | GPT-5.4 |
|---|---|---|---|
| SWE-bench Verified | 93.9% | 80.8% | 약 82% |
| SWE-bench Pro | 77.8% | 53.4% | 57.7% |
| GPQA Diamond | 94.6% | 약 90% | 94.4% |
| CyberGym | 83.1% | 비공개 | 비공개 |
SWE-bench Verified(실제 GitHub 이슈를 해결하는 코딩 벤치마크)에서 93.9%라는 건, 기존 최고 모델 대비 13%포인트 이상의 도약이야. 하지만 진짜 충격은 벤치마크가 아니라 실전이었어.
Anthropic이 Mythos를 만들기 시작한 건 2025년 말이야. 당시 Anthropic은 AI가 사이버보안에서 방어와 공격 양쪽 모두에 혁명적 변화를 가져올 거라고 판단했어. 기존 모델인 Claude Opus 4.6도 코딩 능력이 뛰어났지만, 보안 취약점을 체계적으로 탐색하고 실제 공격 벡터를 구성하는 능력은 별개의 영역이었거든.
Mythos는 아키텍처적으로 Opus 4.6과 유사하지만, Anthropic이 "완전히 다른 모델 카테고리"라고 부르는 수준의 능력 향상을 보여줬어. 특히 코드 분석, 취약점 패턴 인식, 그리고 멀티스텝 공격 체인 구성에서 기존 모델과는 차원이 달랐어.
파이어폭스 테스트: 181개의 작동하는 공격 코드
Mythos의 능력을 가장 극적으로 보여준 건 파이어폭스 취약점 테스트야. Mythos는 181개의 실제로 작동하는 공격 코드를 개발했고, 추가로 29개에서 레지스터 제어(프로그램의 핵심 실행 흐름을 장악하는 것)에 성공했어.
한 사례에서는 4개의 서로 다른 취약점을 연결(chaining)해서 하나의 웹 브라우저 공격 코드를 작성했어. JIT 힙 스프레이(JIT heap spray, 브라우저의 코드 컴파일러를 악용하는 공격 기법)를 구현해서 렌더러 샌드박스와 OS 샌드박스를 모두 탈출한 거야. 리눅스에서는 미묘한 레이스 컨디션과 KASLR 우회를 조합해서 로컬 권한 상승 공격에 성공했어.
쉽게 말하면, 이 AI는 보안 전문가 팀이 몇 주에 걸쳐 할 작업을 단독으로, 그것도 자동으로 해냈다는 뜻이야.
핵심 내용 해부: 왜 월가가 긴급 소집됐나
금융 시스템은 사이버 공격의 최우선 타깃
은행은 세계에서 가장 큰 소프트웨어 시스템 중 하나를 운영해. JP모건 체이스는 연간 170억 달러를 기술에 투자하고, 수만 명의 개발자가 코드를 작성해. 문제는 이 코드 중 상당 부분이 수십 년 된 레거시 시스템 위에 쌓여 있다는 거야.
Mythos가 보여준 건, AI가 이런 레거시 코드 속에 숨어 있는 취약점을 인간보다 훨씬 빠르고 체계적으로 찾아낼 수 있다는 거야. 27년 된 OpenBSD 버그가 대표적이지. 인간 리뷰어 수천 명이 놓친 걸 AI가 찾아낸 거니까.
베센트 장관과 파월 의장이 걱정한 건 정확히 이 지점이야. Mythos 수준의 AI가 공격자 손에 들어가면, 금융 시스템의 보안 벽이 종이처럼 뚫릴 수 있어. 현재 금융권의 사이버 보안은 "공격자보다 방어자가 더 많은 자원을 투입한다"는 전제 위에 서 있는데, AI가 그 균형을 완전히 깨뜨릴 수 있는 거야.
Anthropic의 대응: Project Glasswing
Anthropic도 이 위험을 알고 있었어. 그래서 Mythos를 일반 공개하지 않았어. 대신 "Project Glasswing"이라는 프로그램을 만들었지.
| 항목 | 내용 |
|---|---|
| 접근 권한 | 40개 이상의 화이트리스트 조직만 |
| 대상 | 핵심 소프트웨어 인프라를 구축하거나 유지하는 기관 |
| 가격 | 입력 $25 / 출력 $125 (백만 토큰당) |
| 일반 공개 | 계획 없음 |
$25/$125라는 가격은 일반 모델 대비 매우 높은 편이야. Claude Opus 4.6의 API 가격($15/$75)보다 비싸고, 접근 자체가 제한적이야. 하지만 Anthropic 입장에서는 이 모델이 가진 양면성 때문에 이런 결정을 내린 거야.
더 넓은 그림: AI 사이버보안의 패러다임 전환
이 사건은 AI 업계 전체에 중요한 질문을 던지고 있어. AI가 보안 취약점을 찾는 능력이 비약적으로 발전하면, 그건 방어에 좋은 건가, 아니면 공격에 좋은 건가?
지금까지 사이버보안의 기본 구도는 이랬어. 공격자는 하나의 구멍만 찾으면 되지만, 방어자는 모든 구멍을 막아야 해. 이건 구조적으로 공격자에게 유리한 게임이야. 그런데 Mythos 같은 AI가 등장하면 이 구도가 양쪽 모두에서 증폭돼.
방어 측면에서는, 이전에 발견하지 못했던 취약점을 체계적으로 찾아서 패치할 수 있어. Anthropic이 이미 주요 소프트웨어 벤더에 취약점을 통보하고 패치 작업이 진행 중이라고 밝혔어. VentureBeat에 따르면, 일부 보안 팀은 이미 Mythos가 발견한 취약점 기반으로 새로운 탐지 플레이북을 만들고 있어.
하지만 공격 측면에서는, 비슷한 능력을 가진 모델이 오픈소스나 불법 유출을 통해 공격자에게 넘어갈 경우, 방어 속도가 공격 속도를 따라잡지 못할 수 있어. 오늘날 국가 단위 해커 그룹이 비슷한 AI를 자체 개발하고 있다는 건 공공연한 비밀이야.
베센트 장관이 은행 CEO를 소집한 건 단순한 경고가 아니야. "지금 당장 사이버 방어 체계를 AI 시대에 맞게 재설계하라"는 사실상의 행정 명령에 가까워.
그래서 뭐가 달라지는데
일반 사용자 입장에서 Mythos를 직접 쓸 일은 없어. 모델 자체가 비공개니까. 하지만 이 사건이 가져올 변화는 크게 세 가지야.
첫째, 금융 앱의 보안 업데이트가 빨라질 거야. 은행들이 AI 기반 취약점 탐지를 대규모로 도입할 동기가 생겼으니까.
둘째, AI 모델의 "위험 등급" 분류가 본격화될 거야. Mythos처럼 양면적 능력을 가진 모델에 대한 접근 통제는 앞으로 업계 표준이 될 가능성이 높아.
셋째, 개발자라면 자기가 작성한 코드가 AI에 의해 취약점 스캔을 당하는 시대가 왔다는 걸 인식해야 해. 코드 리뷰의 기준이 "인간이 봐서 괜찮은 수준"에서 "AI가 찾아도 뚫리지 않는 수준"으로 올라가는 거야.
재무장관과 연준 의장이 직접 나서서 은행 CEO를 소집했다는 건, AI의 사이버보안 영향이 더 이상 기술계만의 문제가 아니라 국가 경제 안보의 문제가 됐다는 뜻이야.
참고 자료
출처
관련 기사
6주 만에 두 번, Anthropic의 보안 사고가 말해주는 것
Anthropic Mythos 유출, AI 업계를 뒤흔든 '역대급 실수'
Anthropic, Claude Marketplace 출시 — AI 모델 회사에서 플랫폼 회사로의 전환 해부
AI 트렌드를 앞서가세요
매일 아침, 엄선된 AI 뉴스를 받아보세요. 스팸 없음. 언제든 구독 취소.