클로드 미토스가 판도라의 상자를 열었다. 프로젝트 글래스윙은 그 상자를 닫기 위해 총력을 기울이고 있다.

기사 업데이트:

2026년 5월 28일 추가 사항: 마이크로소프트의 MDASH, AI 보안 스웜의 등장을 알리다

앤트로픽의 클로드 미토스 프리뷰가 업계 전반에 걸쳐 주목을 받은 자율 사이버 보안 기능을 선보인 지 몇 주 만에 마이크로소프트는 인공지능 기반 취약점 탐지 시스템인 MDASH를 발표하며 상황을 더욱 악화시켰습니다.

클로드 미토스 프리뷰의 단일 모델 아키텍처와 달리, MDASH는 100개 이상의 특화된 AI 에이전트가 오케스트레이션된 파이프라인에서 함께 작동하는 것으로 알려져 있습니다. 사이버짐 AI 보안 벤치마크MDASH는 탁월한 성능을 보여주었으며, 이 결과는 분명한 메시지를 전달합니다. 미래의 공격 및 방어 사이버 보안은 개별적인 최첨단 모델이 아닌, 협력적인 AI 에이전트 군집에 달려 있습니다.

28년 2026월 XNUMX일 기준

이번 개발은 글래스윙 프로젝트의 핵심 메시지를 더욱 강화합니다. 사이버 보안 업계는 취약점을 기계적인 속도로 발견하고, 테스트하고, 우선순위를 정하고, 잠재적으로 악용할 수 있는 자율적인 AI 시스템으로 나아가고 있습니다. 이는 더 이상 가상의 미래가 아닙니다.

여기서 얻을 수 있는 교훈은 마이크로소프트가 앤트로픽을 이겼다는 것이 아닙니다. 핵심은 멀티 에이전트 오케스트레이션 프레임워크가 업계 전반에 걸쳐 표준화됨에 따라 주요 AI 공급업체 간의 경쟁 격차가 빠르게 줄어들 것이라는 점입니다.

조직은 지금 다음과 같은 준비를 해야 합니다.

1. 패치 속도 향상공격 가능 시간을 줄이기 위해 당일 또는 자동 업데이트를 활성화하세요.
2. 공격 표면 줄이기인터넷에 연결된 포트, IP 주소 및 진입점을 최대한 많이 제거하십시오.
3. 세그먼트 내부 네트워크침해 사고는 발생할 수 있다고 가정하십시오. 네트워크를 구획화하고, 불필요한 연결을 제거하고, 격리된 영역을 구축하여 한 영역이 침해당하더라도 전체 접근이 가능해지지 않도록 하십시오.
4. AI 스캐닝 솔루션으로 소프트웨어 보안을 강화하세요 MDASH, Mythos, GPT 5.5와 같은 도구는 방어자가 사용할 수 있습니다. 공격자가 사용하기 전에 먼저 사용하십시오.
5. 실시간 데이터 노출을 제한하세요더 이상 적극적으로 필요하지 않은 기록은 오프라인 저장소에 보관하세요. 내부 네트워크에 활성 데이터가 남아 있는 것은 불필요한 위험 요소입니다. 데이터 유출 사고 이후 25년 동안 거래해 온 고객에게 연락해야 했던 기업이 너무나 많습니다. 그런 기업이 되지 마세요.
6. 직원들의 회복력을 강화하세요강력한 비밀번호 관리 습관을 강화하고, 직원들에게 피싱 시도를 식별하는 방법을 교육하며, 관련 정책을 시행합니다. MFA, 암호예산 및 암호 관리자 조직 전반에 걸쳐 있습니다.
7. 조기 발견을 위해 허니팟을 배포하세요: 카나리아를 생각하다 이와 유사한 도구들은 승인되지 않은 무언가가 네트워크 내부로 이동할 때 조기에 경고를 제공합니다.
8. 제3자 위험 관리: 주요 공급업체에 AI 취약점 스캐닝을 활용하여 공격자들보다 한발 앞서 나가고 있는지 지금 바로 문의하십시오.
9. 사고 대응 계획을 수립하고 테스트하세요침해 발생 후 처음 24시간 동안 누가 무엇을 하는지 문서화하고, 최소 1년에 한 번 팀과 함께 모의 훈련을 실시하십시오. 연습을 통해 마련된 계획은 복구 시간을 획기적으로 단축시켜 줍니다. 즉흥적인 대응은 귀중한 시간을 낭비하게 만듭니다. 최소한의 조치만 취하십시오.
10. 권한 접근업무 수행에 관리자 권한이 필요 없는 사용자의 관리자 권한을 제거하고, 모든 관리자 계정을 분기별로 감사하십시오. 불필요한 관리자 계정은 공격자가 침입할 수 있는 통로가 됩니다.
11. 백업 테스트3-2-1 규칙을 준수하세요. 중요한 데이터는 서로 다른 두 가지 저장 매체에 세 개의 복사본을 만들고, 하나는 오프사이트 또는 오프라인에 저장한 후, 정해진 일정에 따라 해당 백업에서 복원하십시오. 테스트하지 않은 백업은 가장 중요한 순간에 신뢰할 수 없습니다.
12. 사이버 보험 약관을 검토하세요.현재 보험 정책이 랜섬웨어, 사업 중단 및 침해 알림 비용을 보장하는지 확인한 다음, 실제 보안 상태가 정책 요구 사항을 충족하는지 검증하십시오. 많은 중소기업 보험 정책에는 MFA 및 패치와 관련된 보장 조건이 포함되어 있으며, 이러한 조건을 충족하지 못할 경우 보험금 청구가 무효화될 수 있습니다.

이제는 단순히 더 똑똑한 AI 모델을 만드는 것만이 경쟁의 핵심이 아닙니다. 협력하고, 적응하고, 독립적으로 행동하는 자율적인 AI 에이전트 시스템을 구축하는 것이 관건입니다. 방어자에게 희소식은 이제 이러한 도구를 활용할 수 있다는 점입니다. 오늘부터 준비를 시작하는 조직은 침해 사고를 기다리는 조직보다 훨씬 유리한 위치에 서게 될 것입니다.

사이버 보안은 영원히 바뀌었습니다. 당신은 준비되었습니까?

2026년 5월 26일 글래스윙 프로젝트 업데이트:

"과거에는 소프트웨어 보안 발전의 속도가 새로운 취약점을 얼마나 빨리 발견할 수 있는지에 따라 제한되었습니다. 이제는 이를 얼마나 빨리 해결할 수 있는지에 따라 제한됩니다. 검증, 공개 및 패치 AI가 발견한 수많은 취약점들."

Mythos는 약 50개 파트너사의 소프트웨어 솔루션을 스캔하는 과정에서 10,000건 이상의 심각도 높은 취약점과 치명적인 취약점을 발견했습니다. Mythos는 잘 정리된 버그 정보와 함께 개념 증명 코드, 심지어 수정 제안까지 제공했을 가능성이 높습니다.

한편, Anthropic은 인터넷 핵심 인프라의 상당 부분을 지탱하는 1,000개 이상의 오픈 소스 프로젝트를 대상으로 Mythos Preview를 실행해 왔습니다. 이 스캔을 통해 총 23,000개 이상의 문제점 중 6,202개의 심각도 높은 또는 매우 높은 수준의 취약점이 발견되었습니다. 수많은 상용 및 기업용 소프트웨어가 이러한 오픈 소스 기반 위에 구축되어 있기 때문에 이번 패치는 특정 공급업체에만 국한되지 않습니다. 지금 바로 소프트웨어 구성 요소를 검토하고 향후 몇 주, 몇 달 동안 상위 소스의 종속성 업데이트를 면밀히 주시하십시오.
조만간 소프트웨어 스택의 많은 부분을 패치해야 할 것으로 예상됩니다. 출처: https://www.anthropic.com/research/glasswing-initial-update?

5월 19일 기사 업데이트: 데이터 보존 기간은 데이터 유출 사고의 심각성을 직접적으로 좌우합니다. 25년 치 고객 파일을 보관하는 기업은 5년 치 파일만 보관하는 기업보다 유출 사고 발생 후 통지해야 할 대상자가 훨씬 적습니다. 온라인에 저장된 기록이 적을수록 통지해야 할 사람이 줄어들고, 법적 책임 부담이 감소하며, 복구 시간도 단축됩니다. 사이버 보험사들도 이러한 점을 인지하고 있습니다. 데이터 규모가 작은 기업은 위험도가 낮다고 판단하여 보험료를 낮추는 경우가 많습니다. 고객 기록을 내부 네트워크에 보관하는 기간을 검토하는 것은 사고 발생 전후 모두 실질적인 재정적 이점을 가져다주는 저비용 조치입니다.

5월 6일 이 기사에 대한 업데이트 사항:

• 2026년 5월 6일 현재, 구글 딥마인드, 마이크로소프트, xAI, 앤스로픽, 오픈AI를 포함한 미국의 모든 주요 AI 연구소는 미공개 모델을 연방 정부와 자발적으로 공유하고 있습니다.CAISI, 인공지능 표준 및 혁신 센터해당 모델이 공개되기 전에 보안 및 기능 검토를 위해 사용됩니다.
• 이러한 자발적 합의는 뉴욕 타임스가 트럼프 행정부가 행정 명령을 통해 별도의 의무적인 사전 배치 검토 절차를 검토하고 있다고 보도한 지 하루 만에 나왔습니다. 앤트로픽의 미소스 모델이 촉매제로 언급됨자발적 프레임워크와 의무적 프레임워크는 병행하여 운영되겠지만, 둘 사이의 상호 작용 방식은 아직 정의되지 않았습니다.
• CAISI에 참여함으로써 기업들은 국가 안보 차원에서 "안전한 AI"가 어떤 모습인지 정의하는 데 도움을 주고 있으며, 이는 상업적인 측면에서도 긍정적인 영향을 미칩니다.
• 히프 라인: 사이버 보안 프로그램은 내일의 위협(미토스 등)을 기다리지 않고 즉시 대응해야 합니다. 오늘날 공격자들이 사용하는 AI 도구는 이미 충분히 강력하여 주의를 요합니다.

vCISO를 위한 실용적인 브리핑

우리가 무시했거나 이해하지 못했던 경고

수년간 인공지능 연구 분야에서 가장 신뢰할 만한 전문가들은 동일한 경고를 해왔습니다. 인공지능을 핵 기술에 적용했던 것과 같은 제도적 심각성으로 다뤄야 한다는 것입니다. 워렌 버핏은 2024년 버크셔 해서웨이 주주총회에서 이 점을 분명히 밝혔습니다.

"우리가 핵무기를 개발했을 때, 판도라의 상자를 열어버렸습니다. 인공지능도 어느 정도 비슷한데, 아직 상자 밖으로 완전히 나오지는 않은 상태입니다.." 원천: CNN 비즈니스, 2024년 5월

만약 당신이 저와 같다면, 우리에게 경고하는 사람들의 중대성을 고려할 때 (스티븐 호킹, 제프리 힌튼, 빌 게이츠 (Bill Gates)우리는 이러한 경고들을 이해하려고 노력했습니다. 하지만 안타깝게도 대부분의 사람들에게 그 경고들은 추상적이고 개념화하기 어려운 것처럼 느껴졌습니다. 잠재적인 혼란은 멀고 모호하며 현실보다는 공상 과학에 더 가까워 보였습니다. 판도라의 상자는 여전히 굳게 닫혀 있었고, 판도라는 여전히 병 속에 갇혀 있었습니다.

2026년 4월 7일, 앤트로픽은 클로드 미토스(Claude Mythos)라는 AI 모델의 미리보기 버전을 잠깐 공개했습니다. 그 안에서 발견한 내용은 심각한 우려를 불러일으켰고, 결국 일반 공개를 중단하고 핵심 소프트웨어 인프라 제공업체로 구성된 엄선된 연합체에만 접근을 허용하기로 결정했습니다. 이는 적들이 먼저 이 모델의 잠재력을 파악하고 대응하기 위한 조치였습니다.

앤트로픽이 발견한 것과 그들이 그곳을 폐쇄한 이유

Anthropic은 Claude Mythos가 제로데이 취약점으로 알려진 심각한 소프트웨어 취약점을 발견했다고 밝혔습니다. 모든 주요 운영 체제 및 브라우저 그들이 그것을 지목하자, 앤트로픽은 상자를 닫고 공개를 거부했습니다. 대신, 그들은 다음과 같은 연합체를 구성했습니다. 프로젝트 글래스윙이 프로젝트에는 마이크로소프트, 구글, 애플, 아마존, 시스코, 크라우드스트라이크를 포함한 세계 최대 소프트웨어 인프라 제공업체 약 40~50곳이 참여했습니다. 목표는 Mythos를 사용하여 적들이 취약점을 무기화하기 전에 찾아내고 패치하는 것이었습니다.

그 결과는 매우 중요했습니다. Mythos는 OpenBSD라는 운영체제에서 27년 된 취약점을 발견했습니다. 보안을 최우선 가치로 설계 및 유지 관리합니다.수십 년간 전문가들이 수행한 인간 검토에서도 전혀 발견하지 못했던 취약점을 찾아냈습니다. 이를 찾아내는 데 소요된 컴퓨팅 비용은 약 50달러였습니다. Mythos는 테스트 사례의 83% 이상에서 첫 시도 만에 작동하는 익스플로잇을 찾아냈습니다. 비교하자면, Anthropic의 이전 공개 모델은 동일한 테스트 스위트에서 단 2개의 성공적인 익스플로잇을 생성했습니다. Mythos는 181개의 익스플로잇을 생성했습니다.

내부 테스트 과정에서 Anthropic은 Mythos에게 샌드박스 환경에서 탈출할 방법을 찾도록 권장했습니다. 그랬다연구원은 사무실을 비운 사이에 모델로부터 예상치 못한 이메일을 받으면서 이 사실을 알게 되었습니다. 모델은 아무런 지시 없이 스스로 취약점을 악용한 세부 정보를 여러 공개 웹사이트에 게시했습니다. 이는 이론적인 시나리오가 아니라, Anthropic의 자체 안전 프로세스에서 실제로 발생한 테스트 결과입니다.

이러한 문제를 해결하기 위한 노력은 단일 모델에만 국한되지 않습니다. 공개된 자료에 따르면 클로드 미토스는 점진적인 개선이 아닌 획기적인 역량 향상을 보여줍니다. 테스트 결과, 클로드 미토스는 최고 수준의 인간 팀보다 10배에서 100배 더 많은 취약점을 식별했으며, 다른 주요 연구소의 경쟁 모델들은 고급 사이버 보안 작업에서 여전히 클로드 미토스에 뒤처지는 것으로 평가받고 있습니다. AI는 빠르게 발전하고 있으며, 다른 업체들의 모델들이 클로드 미토스를 따라잡는 것은 불가피합니다.

또한, 앤트로픽은 지난 두 달 동안 자체 시스템의 인적 오류로 인해 내부 파일 두 개가 유출되는 사고를 겪었으며, 여기에는 미토스 자체에 대한 세부 정보도 포함되었습니다. 세계에서 가장 뛰어난 취약점 탐지 AI를 개발하는 바로 그 조직이 자체 콘텐츠 관리 시스템을 안전하게 보호하지 않고 내부 소스 코드를 공개 소프트웨어 업데이트에 포함시킨 것입니다. 이는 미토스와 같은 도구가 적의 손에 들어가면 아무런 추가 비용 없이 복제할 수 있기 때문에 중요한 문제입니다. 이미 공격적인 사이버 프로그램을 운영하고 있고 책임 있는 정보 공개에 관심이 없는 국가들은 전혀 다른 의제를 가진 자신들만의 연합을 형성하는 데 주저하지 않을 것입니다.

비대칭 문제

지난 30년간 구축된 모든 주요 보안 프레임워크는 공통된 가정에 기반을 두고 있습니다. 바로 방어자가 유리한 고지를 점하고 주변 환경을 더 잘 파악할 수 있다는 구조적 우위를 확보하고 있다는 것입니다. 방어자는 소스 코드, 아키텍처, 시스템 분할, 그리고 신원 관리 기능을 소유하고 있습니다. 이러한 유리한 고지는 여전히 존재하지만, Mythos급 AI는 더 이상 그 고지를 점령할 필요가 없습니다. 취약점 발견 비용이 50달러에 불과하고 몇 달이 아닌 몇 시간 만에 완료되는 시대에, 공격자는 더 이상 우월한 위치를 필요로 하지 않습니다.

프로젝트 글래스윙은 40~50개 조직을 대상으로 합니다. 전 세계 소프트웨어 생태계는 포춘 500대 기업의 인프라부터 고객이 2017년에 구축했지만 그 이후로 아무도 검토하지 않은 맞춤형 업무용 애플리케이션에 이르기까지 수억 건의 배포 사례를 포함하고 있습니다. 미토스급 AI는 연합의 핵심인 가장 규모가 크고 자원이 풍부한 플랫폼부터 우선적으로 강화할 것입니다. 그 경계선 밖에 있는 모든 것, 즉 고객이 매일 의존하는 거의 모든 것은 공격자가 방어자와 대부분의 소프트웨어 공급업체보다 빠르게 취약점을 찾아 악용할 수 있는 능력을 확보한 바로 그 순간부터 여전히 노출되어 있습니다.

책임 있는 취약점 공개는 취약점이 한 번에 하나씩 발견되어 벤더에 보고되고 합리적인 시간 내에 패치될 때 효과적입니다. 하지만 Mythos는 몇 주 만에 모든 주요 운영 체제와 브라우저에서 동시에 수천 개의 심각한 취약점을 자율적으로 발견했습니다. 이러한 대규모 취약점을 처리하도록 설계된 공개 체계는 없었습니다. 수십 개의 심각한 결함에 대한 책임 있는 취약점 공개 통지를 한꺼번에 받는 벤더는 이전에는 경험해 보지 못한 우선순위 결정에 직면하게 되며, 엔지니어링 역량은 발견 속도에 맞춰 확장되지 못했습니다.

한 가지 의미 있는 이점이 있습니다. Mythos는 취약점을 발견하는 동시에 해결책도 제시합니다. Glasswing에 속한 40~50개 조직의 경우, 수백 개의 문제를 발견한 동일한 AI가 엔지니어링 팀에 해결책까지 제공합니다. 이는 해당 조직들에게 진정한 속도 향상 요인이 됩니다. 하지만 다른 조직들은 이러한 이점 없이 시간과의 싸움을 벌여야 합니다.

귀사의 고객은 이 모든 것의 하류에 위치해 있습니다. 고객이 매일 사용하는 SaaS 도구, 데이터를 저장하는 클라우드 플랫폼, 직원들이 매일 아침 여는 브라우저 등 모든 것에는 공급업체가 패치를 적용하기 전에 공격자가 알아챌 수 있는 취약점이 존재합니다.

Mythos급 취약점이 적의 손에 들어갔다는 초기 징후를 주시하십시오. 특히 운영 체제, 브라우저, 그리고 널리 배포된 SaaS 플랫폼에 동시에 영향을 미치는 여러 공급업체의 제로데이 취약점 공개가 단기간에 급증하는 현상이 나타날 수 있습니다. 특정 사건 헤드라인보다 이러한 패턴이 더 중요한 경고 신호입니다. 이러한 패턴을 발견하면 취약점 확산 여부에 대한 해답을 찾을 수 있을 것입니다.

제로데이 경제가 변했습니다

역사적으로 진정한 제로데이 취약점을 찾아내는 데에는 최고 수준의 인재, 상당한 시간, 그리고 깊이 있는 전문성이 요구되었습니다. 이러한 희소성으로 인해 시장은 제한적이고 가격이 높았습니다. 국가들은 신뢰할 수 있는 제로데이 취약점을 확보하기 위해 수천만 달러를 지불했습니다. 범죄 조직들은 획득 비용이 높고 보존 가치가 높았기 때문에 이러한 취약점을 신중하게 비축했습니다. NSA, GRU 및 이와 유사한 정보기관들은 보유하고 있는 제로데이 취약점을 전략 자산으로 취급하여, 취약점을 조기에 소진하지 않도록 선별적으로 배치했습니다.

그러한 경제 구조는 발견은 어렵다는 단 하나의 전제에 기반을 두고 있었다. 클로드 미토스는 그 전제를 뒤집어 놓았다.

취약점 발견 비용이 거의 0에 가까워지면 유통되는 익스플로잇의 수는 폭발적으로 증가할 것입니다. 이전에는 공격 작전에 참여할 능력이나 자원이 부족했던 새로운 적대 세력들이 이제는 두 가지 모두를 확보할 수 있는 방법을 갖게 되었습니다. 이전에는 획득 비용이 비싸서 제로데이 취약점 사용을 제한했던 범죄 조직들도 더 이상 그러한 제약에 직면하지 않습니다. 익스플로잇이 부족했던 국가들도 이제 필요한 만큼의 익스플로잇을 보유하게 되었습니다. 정교한 공격에 대한 진입 장벽이 몇 배나 낮아졌으며, 이러한 변화는 다시 일어나지 않을 것입니다.

규제의 현실

국제 규제가 이러한 위협을 억제할 수 있을지에 대한 솔직한 답변은 "시기적으로 불가능하며, 포괄적이지도 못할 것"이라는 것입니다. 이는 냉소적인 발언이 아닙니다. 현대 역사에서 주요한 이중용도 기술 관리 문제들이 모두 보여준 패턴입니다.

암호화 정책은 실제 적용보다 10년 뒤처졌습니다.암호화 기술은 1990년대까지 무기 수출 통제 대상인 무기로 취급되었으며, 그 무렵 상업용 인터넷은 이미 암호화 기술을 기반으로 구축되고 있었습니다. 소셜 미디어가 젊은 세대에게 미치는 해악은 이제야 법적으로 다뤄지고 있습니다. 피해가 발생한 후 오랜 시간이 지난 후자율 무기 조약 불완전하게 남아 유엔이 10년 동안 협상을 진행했음에도 불구하고, 주요 강대국들은 논의 중인 시스템을 배치하면서도 구속력 있는 합의를 막았습니다. 각각의 경우에서 기술 발전 속도는 이를 관리해야 할 제도적 장치보다 빨랐습니다. 인공지능 언어 모델의 경우, 이러한 가속화는 더욱 가파르게 진행되어, 위험이 대규모로 현실화되기 전에 이를 평가하고, 방어하고, 적응할 수 있는 시간이 더욱 부족해지고 있습니다.

EU 인공지능법은 위험 분류 및 투명성 요건을 다루고 있지만, 미소스급 공격 능력의 확산을 통제하기 위한 실질적인 국제적 틀을 마련하지는 못했습니다. 미국은 행정명령과 주요 인공지능 개발업체들의 자발적 참여 약속을 통해 이를 시행하고 있지만, 자발적 참여 약속은 참여를 거부하는 개발업체를 구속하지 않으며, 다른 경로를 통해 해당 능력을 획득한 적대 세력에게도 구속력을 갖지 않습니다.

앤트로픽은 주목할 만한 두 가지 윤리적 기준을 세웠습니다. 자사의 클로드(Claude) 모델을 완전 자율 무기 시스템에 사용하는 것을 거부했고, 미국 시민에 대한 대규모 국내 감시를 허용하지 않았습니다. (앤트로픽 CEO) 다리오 아모데이 인공지능을 대규모 국내 감시에 사용하는 것은 "민주적 가치와 양립할 수 없다"고 주장했으며, 오늘날의 최첨단 인공지능 모델은 완전 자율 무기에 사용하기에는 "단순히 신뢰할 수 없다"고 지적했습니다. 이에 대한 미 국방부의 반응은 다음과 같았습니다. 라벨 인간 활동으로 인한 공급망 위험 3월 초, 역사적으로 외국 적대 세력에게만 사용되던 명칭인 '방어 금지' 조치가 미국 정부 정책에 반대하는 미국 기업에 적용되었습니다. 이에 앤트로픽은 소송을 제기했고, 캘리포니아 연방 판사는 가처분 신청이 승인되었습니다 3월 말, 정부가 정책에 동의하지 않는다는 이유로 미국 기업을 국가 안보 위협으로 규정할 법적 근거가 없다고 판시했습니다. 4월 8일, 워싱턴 D.C. 항소법원은 지정을 일시 중단하는 것을 거부했습니다. 소송이 진행되는 동안 해당 라벨은 그대로 유지되며, 구두 변론은 5월 19일로 예정되어 있습니다. 지금까지 개발된 가장 뛰어난 취약점 발견 AI를 비공개로 처리하기로 결정한 회사는 이제 안전 기준을 마련했다는 이유로 두 개의 연방 법원에서 자국 정부를 상대로 소송을 벌이고 있습니다.

책임 있는 주체들이 자제하는 것은 시간을 벌어줄 뿐입니다. 하지만 영구적인 안전을 보장하는 것은 아닙니다. 향후 몇 년 동안 고객사들이 사업을 운영하게 될 규제 환경은 가장 강력한 공격용 AI 도구들이 명목상으로는 통제되지만, 실제로는 확산되고 있으며, 위협 확산 속도가 느린 환경에 맞춰 설계된 프레임워크에 의해 관리되는 환경입니다.

이러한 압박에 더해, 이러한 모델을 개발하는 기업들은 모델 탈취에 가장 적극적인 국가들에 맞서 방어할 역량이 부족합니다. 앤트로픽, 오픈AI를 비롯한 기업들은 강력한 엔지니어링 문화와 성장하는 보안팀을 보유한 소프트웨어 회사일 뿐, 정보기관이 아닙니다. 지난 20년간 핵 관련 기밀, 방위산업체의 지적 재산, 그리고 기밀 정부 문서를 성공적으로 빼돌린 국가들은 이제 명확하고 단 하나의 목표를 향해 나아가고 있습니다. 마이토스(Mythos)와 같은 모델은 일단 도난당하면 제조, 공급망, 추가 개발 비용이 전혀 들지 않습니다. 적의 손에 들어가는 순간부터 즉시 복제되어 대규모로 운영될 수 있습니다. 이러한 기업들이 인내심 있고 자원이 풍부한 국가 행위자에 맞서 핵심 기술을 방어할 수 있을지는 업계가 아직 납득할 만한 답변을 내놓지 못한 과제입니다.

국가 차원

이란, 중국, 러시아, 북한은 모두 정교한 사이버 공격 프로그램을 운영하고 있습니다. 이들은 제로데이 취약점을 대량으로 보유하고 있으며, 여러 차례의 공개 기소, 배후 규명 보고서, 사건 후 분석을 통해 민간 기반 시설에 대한 파괴적인 공격을 감행할 의지와 능력을 입증해 왔습니다.

미소스는 이러한 행위자들에게 개념적으로 부족했던 무언가를 제공하는 것이 아닙니다. 하지만 절도나 경쟁사로부터 상업적 접근을 통해 일단 획득하게 되면, 이전에는 운영 속도를 제한했던 자원 제약을 없애주는 규모, 속도, 그리고 비용 구조를 제공합니다.

과거에는 투자 가치가 없다고 여겨졌던 규모가 작거나 인지도가 낮은 목표물도, 발견 및 공격에 드는 비용이 거의 들지 않게 되면 경제적으로 실행 가능해집니다. 지역 제조업체, 의료 네트워크, 직원 200명 규모의 금융 서비스 회사와 같은 중견 기업들은 과거에는 '숨겨진 보안' 전략을 통해 이점을 누려왔습니다. 이는 방어 체계가 강력해서가 아니라, 해당 기업을 공격하는 데 드는 노력을 더 가치 있는 목표물에 집중할 수 있었기 때문입니다. 하지만 Mythos급 공격 도구가 대규모 공격을 저렴하게 가능하게 만들면서 이러한 계산은 완전히 달라집니다.

핵심 기반 시설은 가장 심각한 위험을 초래합니다. 전력망, 정수 시스템, 병원 네트워크, 금융 결제 시스템 등은 모두 Glasswing 연합에 포함되지 않은 소프트웨어를 사용하고 있습니다. 이러한 시설들은 현대적인 위협 행위자를 염두에 두고 설계되지 않은 인프라에서 수년간 감사를 받지 않은 레거시 코드를 실행하는 경우가 많습니다. Mythos급 역량을 보유하고 책임 있는 정보 공개에 관심이 없는 공격자는 단 하나의 고가치 목표물을 선택할 필요가 없습니다. 그들은 모든 것을 스캔하고, 모든 것을 찾아낸 다음, 나중에 우선순위를 정합니다.

상호확증파괴라는 개념은 양측 모두 보복이 확실하고 대칭적이라는 것을 이해했기 때문에 핵 억지력으로 작용했다. 사이버 분쟁은 이러한 특성을 공유하지 않습니다. 공격 주체를 파악하기 어렵고, 보복 기준이 불분명합니다. 또한, 많은 파괴적인 공격은 무력 충돌로 이어지지 않도록 설계되어 있습니다.미소스급 공격형 AI는 보복 임계값 이하에서 작전을 수행하려는 행위자들에게 새로운 형태의 면책권을 부여하는데, 이는 오늘날 대부분의 국가 주도 사이버 작전에 해당합니다.

실제로 무엇이 바뀌었나요?

기업 보안에 있어 오랫동안 유지되어 온 몇 가지 가정이 이제는 운영상 신뢰할 수 없게 되었으며, 이를 직접적으로 언급할 필요가 있습니다.

경계 방어가 실질적인 보호를 제공한다는 가정은 수년간 의문시되어 왔으며, 이에 대한 업계의 대응책은 제로 트러스트 아키텍처였습니다. 새롭게 대두된 점은 경계 취약점이 발견되고 악용되는 속도가 훨씬 빨라졌다는 것입니다. 제로 트러스트는 여전히 올바른 프레임워크이며, 이를 완벽하게 구현해야 할 필요성이 더욱 커졌습니다.

규정 준수 체계가 충분한 보안을 보장한다는 가정은 항상 불완전했습니다. 지난 분기에 SOC 2 감사를 완료하고 모든 것이 안전하다고 생각하는 고객은 잘못된 안도감에 빠져 있는 것입니다. 규정 준수 체계는 느리고 비용이 많이 드는 위협 환경을 기반으로 설계된 기준선을 제시할 뿐입니다.

소규모 및 중규모 조직은 타협에 투자가 필요하기 때문에 우선순위가 낮은 목표물이라는 가정은 더 이상 통하지 않습니다. 규모와 비용은 더 이상 은폐를 보장하지 않습니다.

평판이 좋은 업체에서 만든 소프트웨어는 수년간 사용되어 왔고 전문가의 검증을 거쳤기 때문에 안전할 것이라는 가정은 더 이상 통하지 않습니다. 27년 된 OpenBSD 취약점이 수십 년간의 전문가 감사를 견뎌냈지만, Mythos는 단 몇 시간 만에 이를 발견했습니다. 고객이 사용하는 모든 소프트웨어는 평판이나 출시 연도와 관계없이 이러한 불확실성을 내포하고 있습니다.

패치 관리가 전략적 우선순위가 아닌 일상적인 운영 작업이라는 가정은 이제 버려야 합니다. 패치 주기는 이제 최전선에서 내려야 할 위험 관리 결정 사항입니다.

더 이상 존재하지 않는 현상 유지

보안 업계는 새로운 위협을 점진적으로 수용하는 경향이 있기 때문에 무엇이 바뀌었는지 명확하게 밝히는 것이 중요합니다. 이건 달라요.

SIX 지금 고객과 함께 우선적으로 처리해야 할 7가지 행동

1. 패치 주기를 단축하고 이사회 차원에서 논의하십시오..
   
   취약점이 존재하는 시점과 공격자가 이를 악용하는 시점 사이의 간격이 사라졌습니다. 월별 패치는 더 이상 정당화될 수 없습니다. 중요 시스템에 대한 주간 패치, 환경이 지원하는 경우 자동 패치, 그리고 정기적인 주기 외 긴급 패치에 대한 명확한 책임 프로세스가 새로운 기본 기준입니다. 이를 운영 위험 관리로 경영진에게 설명하십시오. Mythos급 도구가 50달러로 수십 년 된 취약점을 찾아내고 같은 세션에서 실행 가능한 익스플로잇까지 제안할 수 있다면, 패치 지연은 IT 부서에서 비즈니스 연속성을 위해 내려야 할 중요한 결정 사항이 됩니다.
   
2. 새로운 시급성을 가지고 공격 표면을 감사하고 줄이십시오..
   
   노출된 모든 서비스, 레거시 애플리케이션, 잊혀진 API, 관리되지 않는 엔드포인트는 이제 수명이 짧은 잠재적 위험 요소가 되었습니다. 이번 분기에 각 고객과 함께 새로운 인벤토리를 작성하십시오. 외부 노출 시스템을 우선적으로 관리하십시오. Mythos급 능력을 가진 공격자는 특정 목표를 선택할 필요가 없습니다. 모든 것을 스캔하고, 모든 것을 찾아낸 후 우선순위를 정합니다. 쉽게 찾을 수 있는 것은 남겨두지 마십시오.
   
3. 고객과의 대화를 경계 방어에서 침해 가능성 가정으로 전환하세요..
   
   가장 큰 위험에 처한 조직은 여전히 ​​강력한 경계선이 공격자를 막아낼 수 있다고 믿는 조직입니다. 반면, 가장 성공적인 결과를 얻을 수 있는 고객은 신원 관리, 행동 모니터링, 최소 권한 아키텍처, 그리고 검증된 침해 대응 계획에 투자한 기업입니다. 경영진에게 명확하게 설명하십시오. 이제 문제는 정교한 공격이 조직에 도달할지 여부가 아니라, 공격이 발생했을 때 얼마나 큰 피해를 입히는지, 그리고 얼마나 빠르게 이를 탐지하고 차단하는지입니다. 검증된 침해 대응 계획은 단순한 규정 준수 문서가 아닙니다. 이는 복구 가능한 침해와 복구 불가능한 침해를 가르는 결정적인 요소입니다.
   
4. 새로운 : 데이터 보존을 감사하고 침해 발생 전에 목표 규모를 축소하여 비용을 산정하세요.
   
   고객이 데이터 보존 정책을 수립하고 실행하도록 지원하여 데이터 유출 위험을 줄이세요. Mythos급 도구를 사용하는 해커는 고객이 보유한 데이터 양을 파악하고 이를 탈취(유출)할 수 있습니다. 25년 치 기록을 보유한 고객은 5년 치 기록만 보유한 고객보다 훨씬 더 많은 몸값을 요구할 수 있습니다. 데이터 유출 후 통지 부담은 유출된 기록의 양에 비례하여 증가합니다. 법적 책임과 복구 시간 또한 마찬가지입니다. 사이버 보험사도 이러한 요소를 보험료에 반영합니다. 보존 정책이 간소화될수록 보험료가 낮아지고 고객의 데이터 유출 피해도 줄어듭니다. 고객이 규정 준수 또는 비즈니스 요구 사항에 필요한 데이터만 보존하는 보존 일정을 수립하도록 지원하세요. 존재하지 않는 기록은 탈취, 몸값 요구 또는 유출될 수 없습니다.
   
5. 인공지능 기반 공격에 인공지능 기반 방어로 맞서 싸우세요.
   
   Mythos를 공격에 위협적인 존재로 만드는 것과 같은 역량 변화는 방어에도 적용되며, 고객은 이러한 변화에 적극적으로 대응해야 합니다. AI 기반 엔드포인트 탐지, 행동 이상 모니터링, 자동화된 위협 탐지 도구는 더 이상 기업 전용 투자가 아닙니다. AI 지원 스캐닝 도구는 출시되는 즉시 방어적으로 도입하여 활용해야 합니다. 이러한 도구는 보안 프로그램의 범위를 인간 팀이 수동으로 커버할 수 있는 범위를 넘어 확장하고, 지속적으로 작동하며, 침해와 탐지 사이의 시간 간격을 단축합니다. 고객은 AI 작동 방식을 이해할 필요가 없습니다. 공격자의 AI가 먼저 취약점을 발견하기 전에 AI를 실행하고 최적화해야 합니다.
   
6. 고객 환경에 적용하는 것과 동일한 긴급성을 가지고 벤더 스택을 감사하십시오..
   
   고객은 자신이 통제하지 않는 소프트웨어에 패치를 적용할 수 없습니다. 대신 이번 분기에 모든 주요 SaaS 공급업체에 다음과 같은 날카로운 질문을 던질 수 있습니다. AI 기반 보안 스캔 프로그램에 참여했습니까? 패치 배포 일정은 어떻게 됩니까? 제로데이 취약점 발견 시 사고 알림은 어떻게 이루어집니까? 이러한 질문에 대한 답변을 통해 어떤 공급업체가 허용 가능한 위험 수준인지, 어떤 공급업체가 용납할 수 없는 수준의 위험 수준인지 파악할 수 있습니다. Glasswing 연합에 참여하거나 이와 유사한 프로그램을 운영하는 공급업체는 AI 기반 취약점 탐지에 참여하지 않은 공급업체보다 위험도가 훨씬 낮습니다. 이러한 평가를 모든 고객의 공급업체 검토 프로세스에 지금 바로 포함시키고, 최소한 매년 재검토하십시오.
   
7. 피싱 방지 및 다단계 인증(MFA) 시행을 AI 기반 보안에 대한 인간 중심적 대응책으로 활용하세요.
   취약점 발견.
   
   기술적 취약점을 쉽게 찾아내고 악용할 수 있게 되면 공격자들은 가장 쉬운 길을 택하게 됩니다. 그리고 그 길은 결국 사람을 노리는 것으로 귀결됩니다. Mythos급 도구는 소프트웨어의 열린 문을 찾아냅니다. 정교하게 제작된 피싱 이메일은 공격자에게 모든 문을 한 번에 열 수 있는 열쇠를 제공합니다. 모든 고객 환경에 피싱 방지형 다단계 인증(MFA)을 적용하고, 비밀번호 재사용을 방지하며, 정기적인 피싱 시뮬레이션을 실행하는 것은 인공지능(AI)이 기술적 취약점을 발견한 후에도 공격자가 달성할 수 있는 성과를 제한하는 인적 차원의 통제 조치입니다.

중요한 격차

위의 7가지 권고사항은 출발점이지 최종 목표가 아닙니다. 이 시기를 무사히 넘길 조직은 침해 사고는 발생할 수 있다는 전제, 완벽한 예방보다 신속한 탐지가 중요하다는 인식, 네트워크와 데이터를 서로 분리하는 체계, 그리고 복구 역량을 핵심 비즈니스 우선순위이자 자산으로 삼는 보안 태세를 이미 갖춘 조직입니다.

보안을 연례적인 규정 준수 활동이 아닌 지속적인 운영 분야로 다뤄온 전문가들도 Mythos 사태의 영향을 피할 수는 없습니다. 다만, 그렇지 않은 전문가들보다 Mythos 사태를 더 잘 이해하고 대응하며 빠르게 회복할 수 있는 유리한 위치에 있을 뿐입니다.

경고는 더 이상 추상적이지 않고, 혼란은 더 이상 먼 미래의 이야기가 아닙니다. 판도라의 상자는 이미 열렸습니다. 작년에는 공상 과학 소설처럼 느껴졌던 일이 오늘날에는 입증된 실험 결과가 되었습니다. 만약 당신의 고객들이 아직 이러한 현실에 발맞춰 대응하고 있지 않다면, 이번 분기에 그들과 나누는 대화는 지난 몇 년 동안 가장 중요한 대화가 될 것입니다. 준비된 자와 준비되지 않은 자 사이의 격차만이 지금 가장 중요한 격차입니다. 당신의 임무는 그 격차를 줄이는 것입니다.

---

출처 :

• 시큐어월드 2026년 5월 6일: 미국의 CAISI는 모든 프론티어 모델의 보안 및 적합성을 검토하고 있습니다.
• CNN 비즈니스, 2024년 5월 – 워렌 버핏, 버크셔 해서웨이 연례 주주총회에서 인공지능에 대해 언급
• 케임브리지 대학교, 2016년 10월 – 스티븐 호킹, 인공지능의 위험성에 대해 언급
• NPR, 2023년 5월 – '인공지능의 대부' 제프리 힌튼, 인공지능의 잠재적 위험성에 대해 경고
• GatesNotes.com, 2023년 7월 – 인공지능의 위험성은 현실적이지만 관리 가능한 수준이다.
• 인간 활동으로 인한 안전성 정보 공개, 2026년 2월 – 클로드 미토스, 프로젝트 글래스윙, 익스플로잇 데이터, 샌드박스
  탈출 및 내부 노출 사고
• 인간 활동으로 인한 공급망 위험, 2026년 3월 4일 – 미 국방부, 인위적 공급망 위험으로 규정
• 인간 활동으로 인한 공급망 차단 명령, 2026년 3월 27일 – 인류애를 내세운 연방 판사, 공급망 위험 차단
• 인류가 공급망 위험을 초래한다는 주장에 대한 항소, 2026년 4월 8일 인공 잔해, 공급망 위험 요소로 분류
• 암호학: 뉴 아메리카, 2015년 6월 – 역사는 되풀이될 운명인가? 암호학 전쟁에서 얻을 수 있는 교훈
  1990년대
• 미국 보건복지부, 2025년 2월 – 미국 공중보건국장의 사회 안전 관련 자문
  미디어와 청소년 정신 건강
• 군비통제협회, 2025년 1월 자율무기의 지정학적 및 규제
  시스템
• EU 인공지능법, 2024년 2월 – 개괄적인 내용

---

지금 CyberHoot으로 귀하의 사업을 보호하세요!