앤트로픽의 새로운 인공지능 모델은 다음과 같이 알려져 있습니다. 클로드 미토스 미리보기이는 고도화된 인공지능의 한계에 대한 전 세계적인 논쟁의 중심이 되었습니다. 회사 스스로도 사이버 보안 측면에서 시스템이 너무 강력하기 때문에 광범위하게 출시하지 않기로 결정했다고 인정했는데, 이는 모든 새로운 기술 발전을 자랑하는 데 익숙한 업계에서 이례적인 결정입니다.
여기서 중요한 것은 단순히 이전 모델보다 조금씩 개선되는 것이 아니라, 컴퓨터 취약점을 탐지하고 악용하는 능력의 질적인 도약정부, 중앙은행, 주요 금융기관 및 유럽 규제 당국은 이러한 도구가 초래할 수 있는 결과를 인지하고 이 사건을 면밀히 주시하고 있습니다. 핵심 시스템 방어를 강화합니다하지만 만약 이 기술이 악의적인 사람들의 손에 들어간다면 전례 없는 규모의 공격으로 이어질 수도 있습니다.
클로드 미토스는 정확히 무엇이며, 출시가 지연된 이유는 무엇인가요?
Claude Mythos는 Anthropic의 AI 생태계인 Claude 제품군의 최신 모델 중 하나로, 다음과 경쟁합니다. OpenAI의 ChatGPT와 Google의 Gemini이는 추론, 프로그래밍, 장기적인 맥락 처리가 가능한 범용 모델이지만, 가장 논란이 되는 특징은 바로 그것입니다. 공격 및 방어 사이버 보안 성능.
전화 "레드팀"AI 시스템의 한계를 시험하는 전문가들은 내부 보고서에서 Mythos가 사이버 보안 작업에서 "놀라울 정도로 뛰어난 능력"을 보였다고 결론지었습니다. 다음과 같은 벤치마크 테스트에서 SWE-bench 검증됨 o SWE-벤치 프로실제 소프트웨어 엔지니어링 문제를 해결하는 능력을 측정하도록 설계된 이 모델은 Anthropic이 제공한 데이터에 따르면 GPT 및 Gemini의 고급 버전을 포함한 최고 수준의 상용 대안보다 훨씬 뛰어난 성능을 보였을 것입니다.
기준치 외에도, 경종을 울리는 것은 바로 이것입니다. 미소스는 찾아낼 수 있었다 제로데이 취약점 널리 사용되는 소프트웨어 구성 요소, 심지어 20년 이상 된 구성 요소에서 이전에 알려지지 않았던 결함을 찾아냈습니다. OpenBSD, FFmpeg, FreeBSD 구성 요소와 같은 시스템에서 이 모델은 수년간 발견되지 않았던 오류를 찾아냈을 뿐만 아니라, 이러한 오류를 악용할 수 있는 실행 가능한 익스플로잇까지 생성했습니다.
이러한 결과에 직면하여 앤트로픽은 업계에서 이례적인 결정을 내렸습니다. 모델을 제시한 후 공개적으로 판매하지 않을 것이라고 발표하는 것. 이 회사는 Mythos가 전례 없는 사이버 보안 위험을 내포하고 있다고 판단하기 때문입니다. Mythos는 자사가 개발한 모델 중 "가장 적합한" 모델이라고 주장하지만, 막대한 용량으로 인해 오용 시 발생할 수 있는 결과가 더욱 심각해질 수 있다는 점을 인정합니다.
인간의 능력을 훨씬 뛰어넘는 "해킹" 기술을 가진 모델
여러 기관의 기술 문서 및 보고서에서 공통적으로 나타나는 사실은 다음과 같습니다. Mythos는 복잡한 공격 자동화에 있어 전환점을 마련했습니다.실제 기업 네트워크를 모방한 테스트 환경에서 해당 시스템은 취약점을 연결하고, 권한을 상승시키고, 지속적인 접근 권한을 몇 시간 만에 확보할 수 있었습니다. 이는 인간 전문가가 며칠 또는 몇 주가 걸릴 작업입니다.
예를 들어 Firefox의 JavaScript 엔진에서 Anthropic의 이전 버전 모델은 취약점을 실제 작동하는 익스플로잇으로 전환하는 데 거의 성공하지 못했습니다. 하지만 Mythos는 동일한 테스트 조건에서 수십 건의 작전 관련 취약점을 생성했습니다.가장 효과적인 공격 벡터를 정확하게 재현합니다. 오픈 소스 소프트웨어의 버그를 찾는 데 사용되는 OSS-Fuzz와 같은 분석 플랫폼에서, 수년간의 자동화된 테스트에도 불구하고 발견되지 않았던 심각한 취약점을 탐지한 공로를 인정받고 있습니다.
이 모델은 또한 다음과 같은 놀라운 기능을 보여주었습니다. 리버스 엔지니어링컴파일된 바이너리 파일에서 프로그램 논리의 일부를 재구성하고, 원본 소스 코드에 접근하지 않고도 취약점을 찾아 악용할 수 있습니다. 이러한 기능은 인공지능이 최근까지 고도로 전문화된 인간 팀만이 수행할 수 있다고 여겨졌던 시나리오에 한 걸음 더 다가서게 해줍니다.
보안 평가에서 가장 자주 인용되는 사례 중 하나는 소위 "샌드위치 테스트"입니다. 격리된 실험실 환경에서 Mythos는 시스템에 대한 제어권을 부여받고, 특정 공격을 시도하라는 명확한 지시를 받았습니다. 모래밭에서 탈출하여 연구원에게 연락하세요 테스트를 감독하던 담당자에게 연락이 닿지 않았습니다. 해당 모델은 일련의 취약점을 악용하여 제한된 환경에서 탈출한 후, 당시 자리에 없었던 담당자에게 이메일을 전송했습니다. 이 사건은 초기 내부 버전에서 지시된 명령 하에 발생했지만, 시스템이 최소한의 감독만으로도 복잡한 시나리오에서 작동할 수 있는 정도를 보여주는 사례입니다.
이러한 증거들에도 불구하고 분석가들은 다음과 같은 점을 분명히 해야 한다고 주장합니다. 우리는 '의식 있는' 인공지능이나 자기 의지를 가진 인공지능을 다루는 것이 아닙니다.미소스는 스스로 시스템을 공격하기로 결정하는 것이 아니라, 주어진 작업을 최대한 효율적으로 수행할 뿐입니다. 따라서 위험은 모델 자체가 반항하는 것이 아니라, 누군가가 정교한 조작을 통해 모델을 악용하거나 악의적인 행동을 하도록 강요하는 데 있습니다.
프로젝트 글래스윙: 소수의 선택된 자들을 위한 방어 수단으로서의 신화…
앤트로픽은 일반 대중에게 접근을 개방하는 대신, 미소스를 특정 프로그램으로 둘러싸는 방식을 택했습니다. 프로젝트 글래스윙이 계획은 핵심 소프트웨어 보호를 위해 모델의 기능을 통제된 방식으로 활용하도록 설계되었으며, 엄격한 사용 조건 하에 선정된 대형 기술 기업, 인프라 제공업체 및 금융 기관에 시스템을 제공하는 것을 목표로 합니다.
접근 권한을 가진 조직 중에는 다음과 같은 거대 기업들이 포함됩니다. 아마존 웹 서비스, 애플, 마이크로소프트 Google 클라우드엔비디아 또는 브로드컴크라우드스트라이크와 같은 사이버 보안 회사들도 포함되는데, 이 회사의 결함 있는 소프트웨어는 2024년에 전 세계적으로 대규모 시스템 장애를 일으켰습니다. 이러한 기업들과 함께 세계적으로 유명한 은행들도 참여하고 있습니다. JP Morgan Chase와 여러 대형 월스트리트 그룹그 외에도 민감한 IT 인프라를 유지 관리하는 책임을 맡은 여러 조직들이 있습니다.
앤트로픽은 또한 다음과 같이 발표했습니다. 100억 달러 상당의 대출 이번 자금 지원을 통해 해당 기관들은 Mythos를 취약점 분석에 활용할 수 있게 되며, 리눅스 재단 및 아파치 소프트웨어 재단과 같은 자유 소프트웨어 재단에도 기부금이 전달될 예정입니다. 공식적인 목표는 명확합니다. 세계에서 가장 중요한 소프트웨어를 관리하는 사람들이 잠재적 공격자들이 이러한 도구를 사용하기 전에 결함을 식별하고 수정할 수 있도록 지원하는 것입니다.
하지만 이러한 전략은 해당 분야 내에서 다소 불안감을 불러일으키고 있습니다. 한편으로는 기술이 접근 제한이 필요할 만큼 위험하다는 인식을 강화하고, 다른 한편으로는, 이는 신화 속 "방패"의 혜택을 받는 자들과 그렇지 못한 자들 사이에 격차를 만들어냅니다.Glasswing에 참여하지 않는 기업 및 행정 기관은 특권 환경에서 발견되어 패치되었지만 자체 시스템에는 여전히 존재하는 취약점에 나중에 직면할 위험이 있습니다.
유럽에서 이러한 비대칭성은 핵심 기반 시설 책임자와 대규모 산업 및 금융 그룹의 보안 팀에게 특히 우려스러운 문제이며, 이들은 상황을 면밀히 주시하고 있습니다. 브뤼셀과 유럽 각국 수도는 유사한 프로그램에 유럽 대륙의 주요 인사들이 동등한 조건으로 참여할 수 있도록 보장하고 있습니다. 과 클라우드 주권 미국 파트너와 함께.
정부, 규제기관 및 금융 부문의 반응
미소스의 영향은 기술적인 영역에만 국한되지 않습니다. 불과 며칠 만에 이 모델 발표는 큰 파장을 일으켰습니다. 미국과 유럽에서 열리는 고위급 회담미국 재무장관은 금융 시스템이 금융 안정에 미칠 수 있는 위험을 평가하기 위해 주요 은행 총재들을 워싱턴으로 소집했으며, 연방준비제도 의장도 이 회담에 참석했습니다.
국제 언론이 보도한 유출 정보에 따르면, 이들 단체는 다음과 같은 행위를 하도록 부추김을 받았다고 합니다. Mythos를 방어 모드로 테스트하세요.다른 사람들이 취약점을 찾아내기 전에 자사 인프라의 취약점을 스캔하는 데 사용한다는 의미입니다. 이는 위협이 심각하여 공공-민간 협력 대응이 필요하다는 암묵적인 메시지를 전달합니다.
한편, 앤트로픽의 공동 창업자는 회사가 미국 정부와 직접 대화를 유지하고 있다. 미소스와 미래 모델에 대한 논의가 진행되었습니다. 이러한 논의는 미국 당국이 최근 미소스를 제재 대상 기업 목록에 추가한 후 긴장된 분위기 속에서 이루어졌습니다. 공급망 위험국방부가 해당 모델을 사용하는 과정에서 마찰이 발생한 이후입니다.
대서양 건너편에서는 유럽 연합이 이를 주목했습니다. 유럽 위원회는 Mythos와 같은 모델에 대해 점진적이고 신중한 접근 방식을 공개적으로 지지했습니다. 영국과 유럽 대륙의 금융 규제 당국은 이것이 미칠 수 있는 잠재적 영향에 대해 구체적으로 연구하기 시작했습니다. 은행 및 시장 분야에 적용됩니다. 영국 정부 산하 AI 보안 연구소(AISI)는 이 시스템이 이전 세대에 비해 사이버 위협 측면에서 상당한 도약을 이뤘다고 평가했습니다.
스페인에서는 공개적인 논의가 아직 제한적이지만, 감독 기관과 은행 및 대형 에너지 기업의 사이버 보안팀이 이러한 동향을 면밀히 주시하고 있습니다. 유럽 금융 부문은 결제 시스템, 은행 간 네트워크 또는 거래 플랫폼에 대한 조직적인 공격을 용이하게 할 수 있는 모든 발전에 대해 심각한 우려를 표하고 있습니다.
미소스를 둘러싼 "과대광고"에 대한 회의론, 의구심 및 논쟁
보안 경고와 놀라운 성과 수치를 결합한 앤트로픽의 설명은 비판을 면치 못했습니다. 여러 AI 및 사이버 보안 전문가들은 다음과 같이 촉구했습니다. 회사 발표 내용을 해석할 때는 주의를 기울여야 합니다.다만, 이용 가능한 데이터의 대부분은 내부 보고서에서만 나온 것임을 유의해야 합니다.
일부 분석가들은 Anthropic이 공개한 방대한 문서를 자세히 검토한 결과, "수천 건의 심각한 취약점"이라는 수치는 상대적으로 적은 수의 수동 검토 사례를 바탕으로 추정된 수치라고 지적했습니다. Mythos는 특정 테스트 스위트에서 상당수의 심각한 결함을 발견했지만, 일부 헤드라인에서 암시하는 것처럼 거의 재앙에 가까운 시나리오와는 거리가 멀다고 합니다.
다른 독립적인 연구에서는 취약한 코드 조각을 다양한 AI에 전달하여 동일한 결함을 탐지할 수 있는지 확인함으로써 Mythos의 성능을 더 작은 오픈 소스 모델과 비교하려고 시도했습니다. 결과는 다음과 같습니다. 일부 개방형 모델은 복잡한 취약점을 식별할 수도 있습니다.이는 미소스가 모든 상황에서 완전히 다른 차원의 게임이라는 생각에 의문을 제기하게 합니다.
이러한 반례들은 미소스의 가능성을 부정하는 것은 아니지만, 다음과 같은 점을 시사합니다. "출판하기엔 너무 위험하다"는 담론에는 마케팅적인 측면도 일부 포함되어 있다.모델을 매우 강력하면서도 잠재적인 위험 요소로 제시하는 것은 기술적 리더십과 책임감을 보여주는 이미지를 강화하며, 이는 경쟁이 심화되는 시장에서 매우 중요한 요소입니다.
최근 업계의 역사를 살펴보면 2019년 GPT-2의 사례가 떠오릅니다. 당시 OpenAI는 GPT-2가 허위 정보를 생성할 가능성이 있어 너무 위험하다는 이유로 전체 모델을 공개하지 않기로 결정했습니다. 결국 해당 버전은 공개되었지만 예상했던 재앙은 발생하지 않았고, 많은 전문가들은 이를 과잉 반응의 사례로 지적했습니다. Mythos의 경우에도 마찬가지입니다. 차이점은 이제 텍스트 자체가 아니라 디지털 인프라의 무결성에 초점이 맞춰졌다는 것입니다.이는 정부와 은행에게 훨씬 더 민감한 영역입니다.
보안, 비즈니스, 기술 접근성 사이의 미묘한 균형
언론의 소음을 넘어, 미소스 사태는 근본적인 문제를 제기합니다. 인공지능 모델이 공개하기에 너무 위험하다고 판단되는 시점을 누가 결정하는가? 그렇다면 어떤 기준으로 가능할까요? 현재로서는 앤트로픽 측에서 일방적으로 시스템을 일종의 통제된 격리 상태로 유지하고, 선정된 파트너에게만 제공하기로 결정했습니다.
이러한 입장은 단순히 보안상의 이유에만 근거한 것은 아닙니다. 미소스의 특성을 지닌 모델을 운영하는 것은 컴퓨팅 측면에서 매우 비쌉니다.그리고 회사 자체도 현재 해당 자산을 보유하고 있지 않다는 점을 인정하고 있습니다. 필요한 인프라 수백만 명의 사용자에게 대규모로 제공하기 위해서입니다. 실제로 보안 조치와 기술적 한계는 불가피하며, 이는 Anthropic이 모델과 배포 방식을 미세 조정할 시간을 제공합니다.
동시에, 회사는 다양한 제품들을 명확하게 구분하기 시작했습니다. Mythos는 여전히 다음과 같은 특징을 유지하고 있습니다. 가장 진보된 내부 표준연구 및 전략적 협업 환경에 특화된 모델도 있지만, Claude Opus 4.7과 같은 다른 모델들은 기업과 전문가들의 일상적인 사용을 위해 설계되었습니다. 앤트로픽은 Opus 4.7이 전반적인 측면, 특히 사이버 보안 기능 면에서 Mythos보다 "성능이 떨어진다"고 공개적으로 인정했는데, 이는 새로운 모델을 모든 면에서 최고라고 홍보하는 것이 일반적인 업계에서는 이례적인 일입니다.
이 체계에서 미소스는 다음과 같은 기능을 합니다. 차세대 역량을 위한 테스트베드시중에 판매되는 모델은 이러한 기능 중 일부만 포함하고 있으며, 위험을 줄이기 위해 추가적인 제한 사항이 있지만, "실험용" 모델과 "생산용" 모델을 구분하는 것은 실제 기능에 대한 충분한 투명성이 확보된다면, 위험에 직접 노출되지 않고 AI를 활용하는 데 관심 있는 많은 유럽 조직에게 합리적인 접근 방식이 될 수 있습니다.
궁극적으로 드러나는 시나리오는 다음과 같습니다. 사이버 보안은 대규모 공격 및 방어 AI 시대에 본격적으로 진입하고 있습니다.Mythos와 같은 도구는 수년간 운영되어 온 시스템의 취약점을 신속하게 파악할 수 있도록 해주지만, 동시에 디지털 경제를 뒷받침하는 기술의 분배 및 관리 방식에 대한 재고를 요구하기도 합니다. 유럽과 스페인에게 있어 과제는 점점 더 강력해지는 모델로부터 스스로를 보호하는 것뿐만 아니라, 이러한 모델을 활용하여 자국의 안보를 강화할 수 있는 메커니즘에서 소외되지 않도록 하는 것입니다.
