미토스 등장으로 사이버 보안 기준 급변
범용 AI 확산으로 취약점 탐지·공격 자동화 가속
인력·정책 대응 및 회복력 중심 보안 체계 전환 필요

본 연구 기사는 유럽 경제 연구소 The Economy의 연구위원(Fellow)들이 작성한 The Economy Review 시리즈 기고문을 한국 시장 상황에 맞춰 재구성한 글입니다. 본 시리즈는 최신 기술-경제-정책 이슈에 대해 연구자의 시각을 담아, 일반 독자들에게도 이해하기 쉽게 전달하는 것을 목표로 합니다. 기사에 담긴 견해는 집필자의 개인적인 의견이며, The Economy 또는 집필자의 소속 기관의 견해와 일치하지 않을 수 있습니다.

지난주 영국 인공지능(AI) 보안연구소(UK AI Security Institute)는 앤스로픽(Anthropic)이 개발한 AI 모델 ‘미토스(Mythos)’가 고급 해킹 시나리오를 73% 확률로 수행했다는 결과를 발표했다. 1년 전 동일한 테스트에서 성공률이 0%였던 점을 고려하면 변화 폭이 두드러진다. 이번 결과는 모든 시스템이 즉각 무력화된다는 의미는 아니지만, 보안 검증 기준이 빠르게 상향되고 있음을 시사한다. 이에 따라 사이버 보안 논의의 초점도 기존 방어 체계가 초고속 공격 자동화를 얼마나 감당할 수 있는지로 이동하는 양상이다.

범용 AI로 확장되는 사이버 역량

미토스의 파급력은 추론과 코딩, 자율 작업을 아우르는 범용 구조에서 비롯된다. 그동안 사이버 보안은 별도의 전문 영역으로 분리돼 왔지만, 이제는 범용 AI 안에서 자연스럽게 구현되는 기능으로 이동하고 있다. 소스코드 점검과 구성요소 간 연결 구조 파악, 누락된 정보 보완, 장기 공격 시나리오 설계와 실행까지 하나의 시스템 안에서 연속적으로 이뤄지면서, 별도 도구 없이도 핵심 인프라에 영향을 줄 수 있는 조건이 형성됐다.

이 변화는 보안 위험의 성격 자체를 재편한다. 미토스는 주요 운영체제(OS)와 브라우저 전반에서 수십 년간 드러나지 않았던 제로데이(취약점 공개 후 보안 업데이트 전 0일 만에 이뤄지는 공격) 취약점을 식별해 냈다. 이전 세대 모델이 수백 차례 시도 끝에 단일 취약점을 찾아내던 것과 비교하면, 미토스는 181건으로 분석 범위를 확대했고 29개의 방어 시나리오도 동시에 검증했다. 이처럼 보안 탐지와 대응 역량이 시스템 내부에 결합되면서, 범용 AI의 고도화는 예측하기 어려운 보안 영향 확대 방향으로 전개되고 있다.

취약성 누적과 보안 전제의 붕괴

기존 디지털 보안은 취약점 존재를 전제로, 이를 찾아내는 능력이 인간의 분석 역량에 좌우된다는 인식 속에서 운영돼 왔다. 이 구조에서는 보안 한계 역시 인력 수준에 의해 규정됐다. 그러나 미토스의 등장은 이 전제를 재정의한다. 이제 보안 리스크의 핵심은 인력 규모가 아니라 시스템에 누적된 취약성의 수준으로 이동하고 있다.

AI가 대규모 코드와 실행 구조를 빠르게 분석하고 공격 시도를 반복할 수 있는 환경에서는, 내부 깊숙이 존재하는 결함도 결국 노출될 가능성이 커진다. 이는 기술 부채에 대한 기준 변화를 동반한다. 기존에 관리 가능하다고 여겨졌던 결함이 기계 환경에서는 즉각적인 공격 지점으로 전환될 수 있기 때문이다. 이에 따라 점검의 방향도 새롭게 설정될 필요가 있다. 비용 절감을 이유로 취약성을 일정 수준 용인해 온 구조였는지, 방어 비용이 공격 비용 대비 충분한 격차를 확보했는지에 대한 재검토가 요구된다. IBM의 2024년 연구에 따르면 미국 데이터 유출 평균 비용은 488만 달러(약 72억1,300만원)다. 해당 수치는 미토스 등장 이전 환경을 반영한다. 이에 따라 위협이 현실화된 현재 상황에서는 다음 세대 모델이 등장하기 전 대응 역량을 선제적으로 강화할 필요가 있다.

보안 인력 역할 재편과 가치 변화

미토스의 등장은 보안 인력 구조에도 직접적인 영향을 미친다. 분류와 검증 중심의 반복 업무는 자동화가 빠르게 확산되는 반면, 업무의 중심은 소프트웨어 취약점 대응과 설계 단계의 보안 확보로 이동하고 있다. 애플리케이션과 시스템 전반의 취약점을 식별하고 수정하는 역할에서 나아가, 초기 설계 단계에서 취약 요소를 차단하는 역량이 핵심으로 부상하는 흐름이다. 이에 따라 코드 검토와 보안 중심 시스템 설계 인력에 대한 수요 확대는 불가피할 것으로 보인다.

이 같은 변화는 노동시장 지표에서도 확인된다. 세계경제포럼(WEF)의 ‘미래 일자리 보고서(Future of Jobs)’는 AI와 사이버 보안 역량을 가장 빠르게 성장하는 분야로 지목하면서, 동시에 수요 대비 공급 부족을 주요 제약 요인으로 제시했다. 국제정보시스템보안자격협회(ISC2) 역시 수백만 명 규모의 보안 인력 부족을 지적한다. 유럽 기업을 대상으로 한 조사에서도 숙련 인력 확보가 핵심 과제로 나타났다. 미토스는 이러한 구조 속에서 조직 내부의 역량 격차를 더욱 분명하게 드러내는 계기로 작용하는 모습이다.

정책 대응과 회복력 중심 구조 전환

정책적 대응의 필요성도 한층 커지고 있다. 영국 AI 보안연구소는 미토스가 능동적으로 방어되는 시스템을 단독으로 돌파하는 데 한계가 있다고 평가했다. 그러나 이는 위협 수준을 낮춰볼 근거로 보기는 어렵다. 실제 디지털 인프라는 중소기업과 공공기관, 노후 산업 시스템 등 취약한 환경이 상당 부분을 차지하고 있기 때문이다. 따라서 이들에게는 초고속 공격 자동화에 대응해 신속히 보완하고 차단할 수 있는 실행 역량이 필요하다.

기술 발전 속도 역시 변수로 작용한다. 유사한 수준의 공격 모델이 잇따라 등장하면서 위협 환경은 빠르게 고도화되는 양상이다. 공격 속도가 우위를 점하는 상황에서는 접근 통제 중심의 기존 보안 체계만으로 대응에 한계가 있다는 점도 분명해진다. 이에 따라 정책 방향 역시 재정립이 불가피하다. 보안 설계 역량을 체계적으로 확충하고, 소프트웨어 품질을 전략 자산으로 관리하는 접근이 요구된다.

미토스가 시사하는 바는 보안의 종말이 아니다. 취약한 코드를 용인해 온 관행이 더 이상 유지되기 어려운 환경으로 전환되고 있음을 드러낸다. 따라서 정부는 보안 설계를 반영한 조달 기준을 마련하고 개발 책임을 강화해야 하며, 각 기관 역시 초고속 공격 환경에 부합하는 운영 체계로 전환을 서둘러야 한다. 낮은 수준의 보안으로는 경쟁력을 유지하기 어려운 시점에서 요구되는 것은 공포가 아닌 구조적 대응이다.

본 연구 기사의 원문은 Claude Mythos and the Machine-Speed Security Reset을 참고해 주시기 바랍니다. 본 기사의 저작권은 The Economy에 있습니다.