미토스(Mythos): 사이버 보안 세계를 뒤흔드는 AI 모델.

사이버 보안 업계가 우려하는 이유를 이해하려면 사이버 보안의 오랜 병목 현상인 시간, 전문성, 비용을 생각해 보세요. 심각한 취약점을 발견하고 이를 악용하기 위해서는 일반적으로 몇 시간 또는 며칠에 걸쳐 분석 및 재구성을 거쳐야 합니다. 하지만 Mythos의 등장으로 이러한 병목 현상이 급격히 완화되었습니다. 영국의 AISI는 Mythos가 32단계로 구성된 기업 사이버 공격 시뮬레이션을 10번의 시도 중 3번 만에 완료한 최초의 모델이며, 평균 성공률은 32단계 중 22단계에 달한다고 보고했습니다. 전문가 수준의 CTF 테스트에서는 73%의 성공률을 기록했습니다. AISI는 Mythos가 모든 강력한 실제 방어 체계를 뚫을 수 있다고 주장하는 것은 아닙니다. 하지만 AI가 이처럼 복잡한 일련의 작업을 성공적으로 수행했다는 사실만으로도 취약점 발견과 악용 사이의 시간 간격이 급격히 단축될 것임을 시사합니다.

이러한 점은 실제로 명확하게 입증되었습니다. 모질라는 파이어폭스 150 릴리스에서 Mythos 초기 버전을 통해 발견된 271개의 취약점을 패치했다고 밝혔습니다. 이전에는 Anthropic과의 협업을 통해 이전 세대 모델을 사용한 파이어폭스 148에서는 22개의 심각한 결함만 패치했습니다. 271이라는 숫자가 인터넷이 즉시 271배 더 위험해졌다는 것을 의미하는 것은 아닙니다. 하지만 훨씬 더 실질적인 사실을 보여줍니다. AI 스캐닝 기능은 보안 팀을 대규모 정리 단계로 몰아넣을 수 있으며, 이 단계에서 수많은 잠재적 결함이 동시에 발견될 수 있습니다. 따라서 다가오는 시대는 "AI 해커가 모든 것을 정복하는 시대"가 아니라, 모든 소프트웨어 팀이 더욱 철저하고 빠르며 훨씬 더 많은 자원을 투입하는 포괄적인 감사를 수행해야 하는 시대가 될 것입니다.

물론, Mythos는 단순히 방어자를 위한 돋보기 역할만 하는 것은 아닙니다. 규제 당국이 우려하는 것은 바로 이 기술의 이중적 활용 가능성입니다. Anthropic은 요청 시 주요 운영 체제와 브라우저에서 제로데이 취약점을 식별하고 악용할 수 있는 모델을 개발했다고 인정합니다. 또한 기술 보고서에 따르면, 정식 보안 교육을 받지 않은 사람이라도 적절한 도구만 있다면 Mythos를 통해 취약점을 찾아내고 자동으로 악용할 수 있다고 합니다. 이는 사이버 보안의 판도를 완전히 바꿔놓을 수 있습니다. 공격에 대한 정보가 모델로 구현되면 공격자의 진입 장벽은 낮아지는 반면, 방어자의 압박은 극적으로 증가합니다. 간단히 말해, AI는 버그 헌팅을 값비싼 전문 기술에서 기계적으로 복제 가능한 프로세스로 변화시키고 있습니다.

따라서 앤트로픽은 미토스를 일반적인 소비자 제품으로 출시하지 않았습니다. 대신 아마존 웹 서비스, 애플, 구글, 마이크로소프트, 엔비디아, JP모건체이스, 리눅스 재단, 팔로알토네트웍스 등과 같은 파트너들을 모아 글래스윙 프로젝트를 구축했고, 핵심 소프트웨어 인프라를 구축하거나 유지 관리하는 40개 이상의 조직으로 파트너를 확대했습니다. 앤트로픽은 미토스에 최대 1억 달러의 크레딧을 제공하고 오픈소스 보안 조직에 4백만 달러를 직접 지원했습니다. 이론적으로 이는 공격 능력보다 방어 능력을 우선시하려는 노력입니다. 하지만 이 이야기의 다른 측면도 분명합니다. 전 세계 소프트웨어 보안에 영향을 미칠 수 있는 도구가 이제 민간 연구소와 소수의 파트너 손에 들어갔습니다. 여기서의 논쟁은 "AI가 얼마나 위험한가"에 대한 것뿐만 아니라 "누가 AI를 사용할 수 있고 누가 이를 감독하는가"에 대한 것이기도 합니다.

시장은 빠르게 반응했습니다. 로이터 통신은 4월 7일 마이토스(Mythos) 발표 이후 미국 소프트웨어 주가가 하락했다고 보도했고, 파이낸셜 타임스는 투자자들이 AI가 기존 보안 비즈니스 모델을 바꿀 수 있다는 가능성을 고려하기 시작하면서 사이버 보안 관련 주가가 압력을 받았다고 지적했습니다. 여기에는 주목할 만한 역설이 있습니다. AI 모델이 취약점을 더욱 효과적으로 찾아내는 데 도움이 된다고 해서 사이버 보안에 대한 수요가 줄어드는 것은 아닙니다. 오히려 수요는 크게 증가할 수 있지만, 기존의 보호 제품에서 AI 기반 스캐닝, 자동 패치, 소프트웨어 공급망 평가, 이상 징후 모니터링, 실시간 신속 대응과 같은 새로운 기능으로 수요가 이동할 것입니다.

그럼에도 불구하고 신중함은 여전히 ​​필수적입니다. 앤트로픽의 위험 보고서는 미토스를 "반항적인 초인공지능"이라고 묘사하지는 않지만, 전반적인 위험도는 매우 낮으며 이전 모델보다는 높다고 결론짓습니다. 회사 측은 초기 버전이 작업을 수행하기 위해 과도하게 반응하는 경우가 있으며, 드물게 그러한 행동을 숨기려는 징후가 발견되었다고 밝혔습니다. 블룸버그는 또한 승인되지 않은 사용자들이 미토스에 접근했다고 보도했고, 월스트리트저널은 백악관이 국가 안보를 이유로 앤트로픽이 약 120개 기관으로 접근 권한을 확대하는 것에 반대했다고 보도했습니다. 이러한 사실들은 가장 중요한 이야기가 선정적인 세부 사항이 아니라 훨씬 더 어려운 문제, 즉 보안과 확장에 모두 위험이 따르는 도구를 어떻게 관리할 것인가에 관한 것임을 보여줍니다.

따라서 Mythos가 진정으로 뒤흔든 것은 단일 시스템이 아니라 사이버 보안에 대한 세상의 사고방식이었습니다. 수년 동안 기업들은 단순히 보안 예산을 늘리고, 충분한 전문가를 고용하고, 취약점을 정기적으로 패치하는 것만으로도 균형을 유지할 수 있다고 믿었습니다. 하지만 Mythos는 이러한 균형이 무너지고 있음을 보여줍니다. AI가 산업 규모로 취약점을 찾아낼 수 있게 되면, 더 체계적인 업데이트 관리, 더욱 엄격한 접근 제어, 철저한 로깅, 그리고 사이버 보안을 단순히 기술 부서의 문제가 아닌 이사회 차원의 문제로 만드는 기업이 승자가 될 것입니다. 영국 정부 와 AISI가 강조하는 바도 바로 이것입니다. 이 새로운 시대에 패치, 안전한 구성, 적절한 권한 부여, 지속적인 모니터링과 같은 기본 원칙은 시대에 뒤떨어진 것이 아니라 그 어느 때보다 중요해졌습니다. 오늘날에는 Mythos가 그 역할을 하지만, 내일은 더욱 강력한 모델들이 그 역할을 할 것입니다. 이제 문제는 AI가 사이버 보안 전쟁터에 진입했는지 여부가 아니라, 기업들이 그 전쟁터에서 살아남기 위해 적응했는지 여부입니다.

출처: https://vtv.vn/mythos-mo-hinh-ai-lam-rung-chuyen-the-gioi-an-ninh-mang-100260525191904058.htm