세상에서 가장 보안이 강하다는 OS, OpenBSD. 27년 동안 아무도 발견하지 못한 버그가 있었어요. AI가 찾아냈습니다.
혼자서, 자동으로. 그 AI, 아직 아무도 쓸 수 없어요.
AI 보안 도구, 아직 보조적이라고 생각하죠?
솔직히 말하면, 그 인식이 맞았어요. 최근까지만 해도요. AI 기반 보안 스캐너는 알려진 패턴을 찾는 수준이었고, 진짜 제로데이 취약점은 여전히 숙련된 보안 연구원의 영역이었죠.
2026년 4월, 그 인식이 틀렸다는 게 공식적으로 확인됐어요. Anthropic이 미공개 모델 Claude Mythos Preview를 발표하면서요. 벤치마크 수치가 상당히 도발적입니다.
숫자보다 더 직접적인 평가가 있어요. 독립 보안 연구기관 XBOW는 Mythos를 absolutely unprecedented precision이라고 표현했고, 영국 AI 안전 연구소(UK AI Security Institute)는 "사이버 레인지를 처음부터 끝까지 해결한 최초의 모델"이라고 발표했어요.
기존 보안 AI는 버그를 찾으면 "이거 수상한데요"에서 멈췄어요. Mythos는 버그를 찾고, 그걸 실제 공격 코드로 바꾸고, 여러 취약점을 연결해서 더 큰 공격으로 만드는 데까지 해냈어요. 버그 식별이 아니라 완전한 침투 테스트를 자동으로 수행한 거예요.
27년, 16년 된 버그를 어떻게 찾아냈는데요
숫자로 말해볼게요. Mythos Preview가 오픈소스 프로젝트 1,000개 이상을 스캔한 결과, 총 23,019개의 이슈를 발견했어요. 이 중 6,202개가 높음 또는 심각 등급. 독립 보안 연구팀 6곳이 검증한 결과, 90.6%가 진짜 취약점으로 확인됐어요.
| 소프트웨어 | 숨겨진 기간 | 위험 수준 | 영향 |
|---|---|---|---|
| wolfSSL 암호화 라이브러리 | CVE-2026-5194 | 심각 | 인증서 위조 — 은행·이메일 사이트 사칭 가능 |
| OpenBSD | 27년 | 높음 | 원격에서 시스템 크래시 유발 |
| FFmpeg (비디오 인코더) | 16년 | 높음 | 자동 테스트 500만 회가 지나쳐간 버그 |
| Linux 커널 | 다수 | 심각 | 일반 사용자 권한에서 전체 시스템 제어 획득 |
wolfSSL이 뭔지 몰라도 당신의 기기가 사용하고 있을 가능성이 높아요. IoT 기기, 임베디드 시스템, 자동차 — 수십억 기기에 들어가는 암호화 라이브러리거든요. 이걸 공격하면 브라우저 자물쇠가 초록색인데도 가짜 사이트를 정상처럼 보이게 만들 수 있었어요. 지금은 패치됐어요.
Cloudflare는 코드베이스에서 버그 2,000개를 찾아냈어요. 이 중 400개가 높음·심각 등급이었고, 오탐율이 인간 테스터보다 낮았어요. Mozilla는 Firefox 150에서 271개 취약점을 발견했는데, Claude Opus 4.6으로 이전 버전을 스캔했을 때보다 10배 이상 많은 수예요.
왜 16년 된 FFmpeg 버그를 아무도 못 찾았냐면
자동화 테스트가 500만 번 실행됐는데도 발견하지 못했어요. 기존 퍼저(fuzzer)는 "이 입력이 크래시를 일으키는가"를 반복 검사하지만, AI는 코드의 의미를 이해하고 정교한 엣지 케이스를 설계해요. 패턴이 아니라 논리를 공격하는 거예요.
그래서 Anthropic은 왜 공개하지 않은 건데요
여기가 핵심이에요. Mythos Preview는 일반 사용자가 쓸 수 없어요. 특정 파트너 그룹에게만 제한적으로 접근이 허용되고, 대중 공개는 "더 강력한 안전장치가 추가된 이후"로 미뤄졌어요.
단순히 "위험해서 잠근다"가 아니에요. 같은 AI로 공격하거나 방어할 수 있는데, 누가 먼저 쓰느냐가 결과를 결정한다는 논리예요. 공격자가 이 수준의 AI를 갖는 건 시간문제 — 그래서 방어진영이 먼저 써야 한다는 판단으로 연합을 만든 거예요.
그게 바로 Project Glasswing이에요. 2026년 4월에 출범한 산업 방어 연합이에요.
AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks
— Project Glasswing 창립 11개사
처음 50개 파트너로 시작해서, 2026년 6월에는 150개 이상 조직으로 확대됐어요. 15개 이상 국가가 참여 중이고, 한국도 포함됩니다 — Samsung, SK Hynix, SK Telecom이 파트너예요. Anthropic은 여기에 모델 사용 크레딧 최대 1억 달러와 오픈소스 재단에 직접 400만 달러를 투입했어요.
| 기존 보안 패러다임 | Glasswing 이후 | |
|---|---|---|
| 취약점 발견 속도 | 수개월 | 수 주 |
| 월 고위험 취약점 발견 건수 | 150~300건 | 900건 이상 |
| 패치 배포 소요시간 | 평균 60~150일 | 목표 2주 이내 |
| 오탐율 | 높음 (노이즈 문제) | 인간 테스터보다 낮음 |
성과도 이미 나오고 있어요. 파트너 은행에서 150만 달러 규모의 사기 송금이 탐지·차단됐고, Palo Alto Networks는 평소 대비 5배 많은 패치를 진행했어요.
지금 우리 팀이 해야 할 것
- 오픈소스 의존성부터 파악하기
wolfSSL처럼 당신도 모르게 쓰고 있는 라이브러리가 있어요.npm audit,pip-audit,trivy로 지금 당장 의존성 트리를 확인하고, GitHub Dependabot이나 Snyk으로 취약점 알림을 자동화하세요. - 패치 배포 주기 단축하기
업계 평균 패치 배포 시간이 60~150일이에요. 취약점 발견은 AI가 수주로 줄였지만, 패치가 이를 못 따라가면 의미가 없어요. CI/CD 파이프라인에 보안 패치 자동 검증·배포 구조를 만드는 게 지금 가장 급한 일이에요. - Claude Security 대기 목록 신청하기
Anthropic이 기업 고객 대상으로 Claude Security 공개 베타를 운영 중이에요. Claude Opus 4.7 기반으로 3주간 2,100개 취약점이 패치됐다는 초기 수치가 있어요. 지금 신청해두면 빠르게 활용할 수 있어요. - 아키텍처 기반 방어 점검하기
Cloudflare의 교훈: "패치만으로는 충분하지 않다." WAF, Zero Trust, 시스템 분할 같은 구조적 방어를 병행하지 않으면, 취약점을 찾아도 공격자가 패치 전에 먼저 들어와요. - AI vs AI 시대 이해하기
보안 전문가 박세준 Theori 대표는 "Mythos 이후 월 고위험 취약점이 900건으로 급증했지만, AI 기반 탐지의 가속은 그 전부터 시작됐다"고 분석했어요. 이제 방어팀도 AI를 쓰지 않으면 공격 속도를 따라갈 수 없는 구조예요.
.png)
