Anthropic Mythos AI 보안 취약점 - CEO가 '위험의 순간' 경고하며 6개월 패치 골든타임 선언

 

Anthropic CEO '위험의 순간' 경고 - Mythos가 발견한 수만 개 취약점 Stories

AI News

Anthropic Mythos '위험의 순간' - CEO가 6개월 패치 골든타임 경고한 이유

Claude Mythos Preview가 수만 개 소프트웨어 취약점을 자율 발견, Dario Amodei가 중국 AI 추격 전 패치 완료를 촉구

Anthropic CEO '위험의 순간' 경고 - Mythos가 발견한 수만 개 취약점

 

Anthropic CEO '위험의 순간' 선언 - 무슨 일이 일어나고 있나

 

2026년 5월 5일, Anthropic CEO Dario Amodei가 JPMorgan 금융서비스 행사에서 자사 AI 모델 Claude Mythos Preview가 주요 소프트웨어에서 수만 개의 미발견 취약점을 찾아냈다며 'moment of danger(위험의 순간)'를 선언했습니다.

그가 못 박은 시한은 6-12개월입니다. 중국 AI가 같은 수준에 도달하기 전에 패치를 끝내야 한다는 것. 'moment of danger'라는 표현은 단순한 우려가 아니라, 시간 제한이 붙은 위기 선언이었습니다.

Anthropic Mythos AI 보안 취약점 이슈가 처음 수면 위로 올라온 건 2026년 4월이지만, CEO가 금융권 리더들 앞에서 직접 데드라인을 제시한 것은 이번이 처음입니다. 제가 보기에 이 발언의 무게는, AI 회사가 자기 모델의 위험을 스스로 인정하면서 공개적으로 시한까지 못 박았다는 데 있습니다.

패치가 늦어지면? Amodei의 표현을 빌리면, "랜섬웨어로 학교, 병원, 은행이 입는 피해가 엄청나게 증가할 위험"이 현실이 됩니다.

 

 

핵심 타임라인: Mythos 발표부터 '위험의 순간'까지

 

4월 7일 모델 발표 → 4월 22일 Firefox 패치 시작 → 5월 5일 CEO 위기 선언 → 5월 6일 Jamie Dimon 위험 평가. 한 달 사이에 국면이 완전히 바뀌었습니다.

날짜	사건	출처
4월 7일	Anthropic, Claude Mythos Preview 발표. Project Glasswing 출범. 모델 비공개 결정	Anthropic Red Team
4월 7일	Axios, "해킹 능력이 너무 강력해 일반 공개 보류" 보도	Axios
4월 22일	Mozilla Firefox 150 릴리스. Mythos 발견 취약점 중 40개 이상 CVE 패치. Claude 크레딧 3건 명시	Mozilla Advisory
5월 5일	Dario Amodei, JPMorgan 행사에서 'moment of danger' 선언. 전체 수만 개 취약점 공개	CNBC
5월 6일	Jamie Dimon(JPMorgan CEO), 'very heightened risk' 평가	American Banker

Firefox 사용자라면 우선 브라우저 버전부터 확인하세요. 4월 22일 배포된 Firefox 150에 Claude가 발견한 CVE 3건(CVE-2026-6746, CVE-2026-6757, CVE-2026-6758)이 포함되어 있습니다. 아직 149 이하를 쓰고 있다면 지금 바로 업데이트해야 할 항목입니다.

 

Claude Mythos Preview - 이전 모델과 무엇이 다른가

 

Claude Mythos Preview는 2026년 4월 7일 발표된 Anthropic의 범용 프론티어 모델입니다. 취약점 발견 능력이 이전 모델(Claude Opus 4.6)의 12배를 넘어섰습니다.

Anthropic 레드팀 보고서의 표현을 빌리면, Mythos 수준은 "가장 숙련된 인간을 제외한 모든 사람을 능가"합니다. 숫자로 보면 차이가 선명합니다.

항목	Claude Opus 4.6	Mythos Preview
Firefox 취약점 발견 수	22개	271개 (12배+)
자율 익스플로잇 개발	거의 0% 성공	181건 작동 확인
가장 오래된 발견 버그	—	OpenBSD 27년 된 취약점
FreeBSD RCE	—	17년 된 원격코드실행 발견·익스플로잇

FreeBSD 사례가 특히 눈에 띕니다. NFS 서버의 RPCSEC_GSS 인증 핸들러에 17년간 숨어있던 스택 버퍼 오버플로를 찾아낸 것도 놀랍지만, 20개 ROP 가젯을 6개 순차 RPC 요청으로 분할해 루트 접근까지 스스로 달성했습니다. 사람이 수주일 걸릴 작업을 자율적으로 해낸 셈입니다.

> 여기서 볼 부분은 이것입니다: Anthropic은 Mythos를 '보안 특화 모델'이라 부르지 않습니다. 공식 입장은 '범용 모델에서 의도치 않게 드러난 보안 능력'입니다. 범용 모델이 이 정도라면, 의도적으로 보안에 맞춰 훈련시킨 모델은 어떤 수준일지—아직 답이 없는 질문입니다.

 

 

왜 '6개월 패치 골든타임'인가

 

Amodei가 제시한 6-12개월은 중국 AI가 Mythos와 동등한 취약점 발견 능력에 도달할 것으로 추정되는 기간입니다. 그 전에 패치를 끝내야 한다는 논리입니다.

구조를 단순화하면 이렇습니다:

1. Mythos가 수만 개 취약점을 이미 발견한 상태
2. 99% 이상이 아직 패치되지 않음
3. 중국 등 다른 국가의 AI도 6-12개월 내 같은 수준에 도달할 가능성
4. 패치 전에 적대 세력이 같은 취약점을 발견하면 → 대규모 공격 가능

이건 막연한 미래 예측이 아닙니다. 취약점 목록이 이미 존재하는 상태에서, 패치 속도와 적대 AI의 발견 속도가 경쟁하는 상황입니다.

그리고 이 경고에 무게를 실어주는 선례가 있습니다. 2025년 9월, 중국 국가 연계 행위자가 Claude Code를 이용해 약 30개 글로벌 타겟에 사이버 첩보 캠페인을 수행한 사실이 Anthropic에 의해 탐지되었습니다. 공격의 80-90%를 AI가 자율 수행했습니다. 이건 Mythos가 아닌 일반 모델로 벌어진 일입니다.

> 6-12개월이라는 수치는 Amodei의 추정입니다. 중국 AI가 정확히 언제 이 수준에 도달할지는 확정된 팩트가 아닙니다. 다만 이미 일반 모델로도 AI 기반 공격이 현실화된 만큼, 골든타임 안에 움직여야 한다는 압박은 분명합니다.

 

Project Glasswing - Anthropic의 제한 공개 전략

 

Anthropic은 Mythos Preview를 일반 공개하지 않았습니다. 대신 Project Glasswing이라는 프레임워크를 통해 50개 이상 기술 조직에 1억 달러 이상의 사용 크레딧과 함께 제한 제공 중입니다.

공개된 런칭 파트너 11곳:

• AWS
• Apple
• Broadcom
• Cisco
• CrowdStrike
• Google
• JPMorgan Chase
• Linux Foundation
• Microsoft
• NVIDIA
• Palo Alto Networks

이들이 Mythos를 받아 자사 소프트웨어의 취약점을 선제적으로 찾고 패치하는 구조입니다. Jamie Dimon은 5월 6일 "사람들에게 연구하고, 취약점을 이해하고, 대응 계획을 세울 기회를 준 것은 올바른 일"이라고 평가했습니다. JPMorgan이 자체 애플리케이션 취약점을 "1년 정도면" 처리할 수 있다는 언급도 나왔습니다.

비공개를 택한 이유는 직관적입니다. Axios 보도를 보면, "해킹 능력이 너무 강력해 일반 공개를 보류"한 것입니다. 취약점을 찾는 도구가 동시에 공격 도구가 될 수 있으니까요.

한국 기업 입장에서 실질적으로 궁금한 건, Glasswing 참여 기관이 아닌 경우 어떻게 되느냐입니다. 전체 50개 이상 참여 기관 명단은 비공개이고, 현재로서는 이 취약점들이 공식 CVE로 공개되기를 기다리는 수밖에 없습니다.

 

 

 

이미 벌어진 일 - Claude 악용 시도와 통제의 한계

 

중국 국가 연계 행위자가 Claude Code를 이용한 사이버 첩보를 시도했고, Mythos Preview 자체에 대한 무단 접근 시도도 보도되었습니다.

2025년 9월 Anthropic이 탐지한 사건의 윤곽: 중국 연계 행위자들이 Claude Code로 약 30개 글로벌 타겟에 침투를 시도했고, 소수는 성공했습니다. 공격 과정의 80-90%를 AI가 자율 수행했다는 점이 핵심입니다.

이건 Mythos가 아닌 일반 Claude 모델 기반 사건이었습니다. Mythos의 능력이 악의적 행위자 손에 들어간다면 피해 규모는 비교할 수 없이 커질 수 있고, Anthropic의 비공개 결정이 왜 나왔는지 맥락이 됩니다.

Amodei는 AI 규제에 대해 자동차 산업을 빌려 설명했습니다. "브레이크가 있는지 확인하지 않고 자동차 회사를 시작할 수 없다." 빠르게 운영하되 가장 심각한 위험에는 안전장치를 두는 프로세스가 필요하다는 주장입니다. 제가 보기에 이건 규제를 요청하는 AI 회사라는 점에서 이례적인 포지션입니다—보통은 규제를 피하려 하니까요.

 

지금 당장 확인할 보안 대응 체크리스트

 

Mythos가 발견한 취약점 대부분은 아직 패치 진행 중이지만, 지금 바로 할 수 있는 조치가 있습니다.

일반 사용자:

• Firefox 150 이상으로 업데이트 완료 확인 (2026년 4월 22일 배포)
• 사용 중인 모든 브라우저를 최신 버전으로 유지
• OS 보안 업데이트 자동 적용 설정 확인
• 중요 서비스(이메일, 금융)의 2단계 인증 활성화

기업·개발자:

• 취약점 스캐닝 주기를 월 1회 → 주 1회 이상으로 단축
• CVE 모니터링에 Anthropic 크레딧 포함 여부 주시 (Mozilla처럼 Claude 크레딧이 표기되는 CVE가 늘어날 수 있음)
• 패치 우선순위 체계 재정비—AI 발견 취약점이 기존 수동 발견보다 빠른 속도로 쏟아질 수 있음
• FreeBSD, OpenBSD 등 레거시 시스템 운영 중이라면 특별히 주의

Project Glasswing 참여 기업이 아니라면, 현실적 대응은 이렇습니다: 취약점들이 공식 CVE로 공개될 때 빠르게 반응할 수 있도록 기본 보안 위생을 유지하면서 대기하는 것. 화려한 답은 아니지만, 지금 할 수 있는 최선입니다.

 

 

 

참고 자료 및 출처

 

이 글에서 인용한 주요 출처를 정리합니다.

• Anthropic 레드팀 보고서: <링크> (2026-04-07)
• Project Glasswing 공식 페이지: <링크>
• CNBC, Amodei 'moment of danger' 보도: <링크> (2026-05-05)
• Mozilla Firefox 150 보안 어드바이저리: <링크> (2026-04-22)
• American Banker, Jamie Dimon 반응: <링크> (2026-05-06)
• Axios, Mythos 비공개 결정 배경: <링크> (2026-04-07)
• SecurityWeek, Firefox 271개 취약점: <링크>
• Anthropic AI 첩보 캠페인 보고서: <링크>
• Decrypt, Moment of Danger 보도: <링크> (2026-05-05)
• VentureBeat, OpenBSD 27년 취약점: <링크>

 

자주 묻는 질문

 

Q. Anthropic Mythos Preview란 무엇인가요?
A. Anthropic이 2026년 4월 7일 발표한 범용 프론티어 AI 모델입니다. 소프트웨어 취약점을 자율적으로 발견하고 익스플로잇까지 개발하는 능력이 이전 모델 대비 12배 이상 향상되어, 일반 공개 대신 Project Glasswing을 통해 제한 제공됩니다.

Q. Mythos가 발견한 취약점은 구체적으로 몇 개인가요?
A. Amodei는 5월 5일 '전체적으로 수만 개(tens of thousands)'라고 언급했습니다. Firefox에서만 271개가 확인되었습니다. 정확한 총 수치는 미공개이며, '수만 개'는 Amodei 발언 기반의 추정 표현입니다.

Q. 6-12개월 패치 골든타임이라는 경고의 근거는 무엇인가요?
A. 중국 AI가 Mythos와 동등한 취약점 발견 능력에 도달하기까지 걸릴 것으로 Amodei가 추정한 기간입니다. 이 시간 안에 패치가 완료되지 않으면, 적대 세력이 같은 취약점을 악용할 수 있다는 논리입니다. 다만 이것은 확정된 팩트가 아닌 Amodei의 추정치입니다.

Q. Project Glasswing에 참여하는 기업은 어디인가요?
A. 공개된 런칭 파트너 11곳: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks. 전체 50개 이상 참여 기관의 명단은 비공개입니다.

Q. 일반 사용자가 지금 해야 할 보안 조치는 무엇인가요?
A. Firefox 150 이상 업데이트, 모든 브라우저·OS 최신 버전 유지, 중요 서비스 2단계 인증 활성화가 즉시 할 수 있는 조치입니다. Glasswing 파트너가 아닌 이상, 취약점이 공식 CVE로 공개될 때 빠르게 대응할 수 있도록 기본 보안 위생을 유지하는 것이 현실적입니다.

Q. Anthropic은 왜 Mythos를 일반 공개하지 않았나요?
A. 취약점 발견 도구인 동시에 공격 도구로도 쓰일 수 있기 때문입니다. Axios 보도에 따르면 '해킹 능력이 너무 강력해 일반 공개를 보류'한 것이며, 신뢰할 수 있는 파트너에게만 제한 제공하는 전략을 택했습니다.

Anthropic CEO '위험의 순간' 경고 - Mythos가 발견한 수만 개 취약점 이 글은 실제 사례를 바탕으로 작성되었습니다