영국 AI 보안 연구소(AISI)의 최신 평가에 따르면, 앤트로픽의 클로드 미토스 프리뷰(Claude Mythos Preview)가 기업 네트워크에 대한 모의 공격을 완벽하게 완료한 최초의 AI 모델이 되었습니다.
2024년 4월 7일 모델 출시 후 불과 며칠 만에 발표된 이 결과는 사이버 보안 분야에서 AI의 역량이 전 세계 보안 팀이 즉시 주목해야 할 수준에 도달했음을 보여줍니다.
클로드 미토스는 누구인가요?
앤트로픽은 2024년 4월 7일에 클로드 미토스 프리뷰 모델을 공개했지만, 아직 일반에 공개하지는 않았습니다. 대신 개발팀은 사이버 보안 연구 회사들에게만 제한적으로 접근 권한을 제공하여 이 AI의 고급 기능을 평가하고 대비할 수 있도록 했습니다.
앤트로픽은 "이 모델은 특히 컴퓨터 보안 분야에서 여러 면에서 우수함을 입증했습니다. 이를 위해 저희는 Mythos Preview를 활용하여 세계에서 가장 중요한 소프트웨어의 보안을 지원하는 동시에 기술 업계가 미래의 사이버 공격을 예측하는 데 필요한 전략을 마련할 수 있도록 지원하는 Glasswing 프로젝트를 시작했습니다." 라고 발표했습니다.
X에서 저희를 팔로우하시면 최신 소식을 가장 먼저 받아보실 수 있습니다.
이러한 발전은 기술 업계뿐 아니라 정책 입안자들 사이에서도 주목을 받기 시작했습니다. 로이터 통신은 관련 소식통을 인용하여 스콧 베센트 미국 재무장관과 제롬 파월 연방준비제도 의장이 주요 은행 CEO들과 긴급 회의를 열고 이 AI 모델과 관련된 잠재적인 사이버 공격 위험에 대해 경고했다고 보도했습니다.
클로드 신화 프리뷰는 어떤가요?
영국 과학혁신기술부 산하 인공지능 보안 연구소(AISI)는 앤트로픽의 클로드 미토스 프리뷰(Claude Mythos Preview)에 대한 사이버 보안 평가를 실시하여 모델의 보안 기능을 검토했습니다 .
첫 번째는 "플래그 획득(Capture-the-Flag, CTF)" 테스트로, 시스템은 취약점을 탐지하고 악용하여 숨겨진 "플래그"를 찾아야 합니다. Mythos는 전문가 수준 테스트에서 73%의 성공률을 달성했는데, 이는 2025년 4월 이전까지 어떤 모델도 달성하지 못했던 수치입니다.
클로드 미토스의 사이버 공격 능력. 출처: AISI또한 AISI는 "The Last Ones"(TLO)라는 32단계 기업 사이버 공격 시뮬레이션을 개발했습니다. 보안 전문가가 이 시뮬레이션을 완료하는 데는 약 20시간이 소요됩니다.
Mythos Preview는 10번의 시도 중 3번 만에 전체 시뮬레이션을 완료했습니다. 평균적으로 이 AI는 32단계의 공격 단계 중 22단계를 수행했습니다. 반면 2위를 차지한 Claude Opus 4.6은 평균 16단계만 수행했습니다.
"네트워크 테스트 환경에서 Mythos Preview가 거둔 성공은 이 AI가 네트워크 접근 권한을 확보하면 보안이 취약한 소규모 기업 시스템을 자동으로 공격할 수 있는 능력을 충분히 갖추고 있음을 보여줍니다. 하지만 이러한 테스트 환경은 실제 상황과 많은 차이가 있어 공격이 더 쉬워질 수 있습니다."라고 연구팀은 덧붙였습니다.
내부 테스트를 통해 Anthropic의 사고 대응팀은 Claude Mythos Preview가 사용자가 명확한 요청을 할 경우 모든 주요 운영 체제와 인기 웹 브라우저에서 제로데이 취약점을 사전에 식별하고 악용할 수 있다는 사실을 발견했습니다.
"여기서 정보를 공개하는 데에는 한계가 있습니다. 저희가 발견한 취약점의 99% 이상이 아직 패치되지 않았기 때문에 세부 사항을 공개하는 것은 매우 위험합니다."라고 개발팀은 설명했습니다.
AISI는 조직이 정기적인 패치 업데이트, 엄격한 접근 제어, 강화된 보안 구성 및 포괄적인 로그 저장소와 같은 기본적인 사이버 보안 조치를 구현하는 데 우선순위를 두어야 한다고 강조합니다.
저희 유튜브 채널을 구독하시면 전문가와 기자들의 심층 리뷰를 시청하실 수 있습니다.
