작성자 Maksym Misichenko · CNBC ·
AI 에이전트가 이 뉴스에 대해 생각하는 것
패널은 미토스의 AI 지원 취약점 발견의 영향에 대해 분열되어 있습니다. 일부는 이를 사이버 보안 지출 증가의 촉매제이자 AI 및 사이버 보험 주식의 부양책으로 보는 반면, 다른 일부는 불가피한 침해, 보험 적용 불가능한 운영 위험 및 잠재적인 시장 압류를 경고합니다.
리스크: Gemini와 Claude가 강조한 미토스 수준의 자동화로 인한 불가피한 침해 및 보험 적용 불가능한 운영 위험.
기회: Grok이 제안한 대로 보험료 인상 및 동적 위험 모델링을 통한 사이버 보험 주식의 잠재적인 슈퍼 사이클.
이 분석은 StockScreener 파이프라인에서 생성됩니다 — 4개의 주요 LLM(Claude, GPT, Gemini, Grok)이 동일한 프롬프트를 받으며 내장된 환각 방지 가드가 있습니다. 방법론 읽기 →
전 세계 은행, 기술 대기업, 정부는 지난달 Anthropic 모델인 Mythos가 제기하는 위험을 통제하기 위해 분주하게 움직였습니다. 이 모델은 너무 강력해서 전 세계 소프트웨어 인프라에서 이전에 알려지지 않은 수천 개의 취약점을 발견했다고 합니다.
하지만 한 가지 문제가 있습니다. 그들이 걱정하는 기능은 이미 존재한다는 것입니다.
사이버 보안 전문가와 인공지능 연구원들은 CNBC에 Mythos가 공개한 소프트웨어 취약점은 Anthropic과 OpenAI를 포함한 기존 모델을 사용하여 찾을 수 있다고 말했습니다.
사이버 보안 회사 watchTowr Labs의 CEO인 Ben Harris는 "우리가 업계 전반에서 지금 보고 있는 것은 사람들이 공개 모델을 영리하게 오케스트레이션하여 매우, 매우 유사한 결과를 얻음으로써 Mythos에서 발견된 취약점을 재현할 수 있다는 것입니다."라고 말했습니다.
Mythos는 AI 기반 사이버 범죄의 위험한 새로운 시대가 임박했다는 우려로 경영진과 정책 입안자 모두를 충격에 빠뜨렸습니다. Anthropic은 악의적인 행위자가 이를 손에 넣을 위험을 줄이기 위해 Apple, Amazon, JPMorgan Chase, Palo Alto Network를 포함한 소수의 미국 기업에게만 출시를 제한했습니다.
이러한 예방 조치에도 불구하고 이번 출시로 인해 트럼프 행정부는 향후 모델에 대한 새로운 정부 감독을 고려하게 되었습니다.
이는 Anthropic의 일련의 유명한 출시 중 최신 것으로, 두 AI 거대 기업이 고대하던 IPO에 접근함에 따라 OpenAI와의 경쟁을 심화시켰습니다. Mythos 출시 몇 주 후, OpenAI CEO Sam Altman은 사이버 보안에 특화된 모델인 GPT-5.5-Cyber를 발표했습니다.
OpenAI는 목요일에 검증된 사이버 보안 팀에게 GPT-5.5-Cyber에 대한 제한적인 액세스를 허용했습니다.
Project Glasswing라는 보안 조치의 일환인 Mythos의 통제된 롤아웃은 기업 세계가 범죄 집단과 적대 국가의 공격이 쇄도하는 것에 대비할 시간을 주기 위한 것이었습니다.
Anthropic CEO Dario Amodei는 이번 주 Anthropic 행사에서 "위험은 취약점의 양, 침해의 양, 학교, 병원, 은행은 말할 것도 없고 랜섬웨어로 인한 금전적 피해가 엄청나게 증가하는 것입니다."라고 말했습니다.
하지만 사이버 전쟁의 최전선에서 싸우는 사람들에게 Anthropic이 광고한 주요 기능 중 하나인 대규모 소프트웨어 취약점 발견은 작년부터 존재해 왔습니다.
사이버 보안 회사 Vidoc의 CEO인 Klaudia Kloc는 CNBC에 "우리가 현재 보유하고 있는 모델은 대규모로 제로데이를 탐지할 만큼 강력하며, 이는 충분히 무섭습니다."라고 말했습니다.
그녀는 "1년은 아니더라도 몇 달 동안" 그랬다고 말했습니다.
"제로데이"라는 용어는 아직 패치되지 않은 이전에 알려지지 않은 소프트웨어 결함을 의미하며, 공격자가 대응할 수 있기 전에 이를 악용할 수 있는 창을 제공합니다.
Vidoc의 연구원들은 Mythos가 발견한 것과 동일한 취약점을 찾을 수 있는지 테스트하기 위해 "오케스트레이션"이라는 기술을 사용했습니다. 이름에서 알 수 있듯이 이 프로세스에는 코드를 더 작은 조각으로 분할하고 다양한 도구나 모델 간에 조정하여 결과를 교차 확인하는 워크플로를 만드는 것이 포함됩니다.
Kloc는 "이전 모델을 동일한 코드베이스에 실행하여 동일한 취약점을 탐지할 수 있는지 확인했습니다. OpenAI와 Anthropic의 이전 모델 모두에서 가능했습니다."라고 말했습니다.
또 다른 사이버 보안 회사인 AISLE은 Mythos의 많은 주요 결과가 저렴한 모델을 병렬로 사용하여 재현될 수 있다는 것을 발견했습니다. 이는 최신 모델을 갖는 것보다 규모와 조정이 더 중요하다는 것을 시사합니다.
AISLE의 창립자인 Stanislav Fort는 블로그 게시물에서 "모든 곳을 샅샅이 뒤지는 천 명의 적절한 탐정은 어디를 봐야 할지 추측해야 하는 한 명의 뛰어난 탐정보다 더 많은 버그를 발견할 것입니다."라고 썼습니다.
CNBC와의 인터뷰에서 Anthropic은 이전 모델이 소프트웨어 취약점을 찾을 수 있다는 사실을 부인하지 않았습니다.
실제로 회사 대변인은 Anthropic이 수개월 동안 AI의 사이버 기능이 빠르게 발전하고 있다고 경고해 왔다고 말했습니다. 그들은 널리 사용 가능한 모델인 Claude Opus 4.6이 오픈 소스 소프트웨어에서 500개 이상의 "높은 심각도" 취약점을 발견한 2월 블로그 게시물을 지적했습니다.
이번 주 Anthropic 행사에서 Amodei는 Mythos가 발견한 소프트웨어 취약점의 규모가 이전 모델에서 급증했지만 추세가 새롭지는 않다고 말하며 이 점을 확인했습니다.
Amodei는 "위험은 매우 현실적입니다. 이것이 우리가 취한 조치인 이유입니다. 하지만 어떤 면에서는 놀랍지도 않습니다. ... 우리는 이것에 대한 경고를 한동안 봐왔습니다."라고 말했습니다.
Mythos를 다르게 만드는 것은 인간의 입력이 거의 또는 전혀 없이 작동하는 익스플로잇을 개발하는 다음 단계를 수행할 수 있다는 것입니다. 이는 이전에 숙련된 연구원이 필요했던 프로세스를 효과적으로 자동화한다고 Anthropic 대변인은 말했습니다.
하지만 사이버 연구원들은 범죄 집단과 적대 국가를 위해 일하는 해커들은 이미 이러한 기술을 보유하고 있다고 말합니다. Kloc는 북한, 중국, 러시아의 해커들은 "Anthropic과 함께든 아니든 이것을 할 줄 안다"고 말했습니다.
Harris에 따르면 AI 기반 해킹의 위협으로 인해 기업과 정부 규제 기관은 새로운 랜섬웨어 및 기타 유형의 공격으로부터 중요한 시스템을 보호하는 것에 대해 걱정하고 있습니다.
그는 최근 몇 주 동안 은행, 보험사, 규제 기관과의 대화를 "히스테리"라고 묘사했습니다.
생성형 AI가 등장하기 전에도 기업들은 숙련된 해커들이 몇 시간 안에 새로운 취약점을 악용하는 문제에 직면했으며, 코드를 패치하는 데는 종종 며칠 또는 몇 주가 걸렸습니다. 일부 패치는 주요 시스템을 오프라인으로 전환해야 하므로 상황이 복잡해집니다.
Harris는 "업계는 현재 직면한 취약점 수에 대해 패닉 상태입니다. 하지만 Mythos가 널리 사용 가능해지기 전에도 취약점을 충분히 빨리 수정할 수 없었습니다."라고 말했습니다.
Harris에 따르면 이전에는 전 세계적으로 극소수의 전문가만이 소프트웨어에서 모호한 취약점을 발견하고 악용할 수 있는 능력과 시간을 가지고 있었습니다. 이제 현재 사용 가능한 AI 모델을 사용하여 사이버 혼란을 일으키는 진입 장벽이 낮아졌습니다.
이는 은행 및 기타 대상이 더 많은 공격을 받게 될 것이며, 이전에 사이버 범죄자들의 관심을 많이 끌지 못했던 소프트웨어 시스템이 이제 위협에 직면하게 될 것임을 의미한다고 Harris는 말했습니다.
Anthropic, OpenAI 및 기타 회사들이 식별된 문제에 상응하는 사이버 방어 기능을 개발하기 위해 노력하고 있지만, 초기 이점은 방어가 아닌 공격에 있다고 연구원들은 말합니다.
JPMorgan의 Jamie Dimon은 지난달 AI 도구가 궁극적으로 회사가 사이버 공격으로부터 스스로를 방어하는 데 도움이 될 수 있지만, 먼저 회사를 더 취약하게 만들고 있다고 말하면서 이를 시사했습니다.
Mayer Brown 법률 회사의 파트너이자 뉴욕 금융 규제 기관의 전 사이버 보안 담당 부국장인 Justin Herring은 "발견된 취약점의 양이 크게 증가했지만, 이를 수정하는 데 도움이 되는 도구를 배포한 것 같지는 않습니다."라고 말했습니다.
Herring은 "취약점 관리는 사이버 보안의 위대한 시시포스 작업입니다."라고 말했습니다.
초기 Mythos 릴리스에 참여한 제한된 그룹은 취약점 패치에서 앞서 나갔지만, 단점도 있습니다. AI 연구원들은 Anthropic의 주장을 독립적으로 검증하거나 이에 대한 방어를 구축하기 위해 Mythos에 액세스할 수 없었습니다.
일부에서는 이것이 더 넓은 사이버 커뮤니티가 해결책의 일부가 되는 것을 막았다고 말합니다.
이는 "가진 자와 가지지 못한 자의 계층"을 만들었으며, 이는 사이버 보안 혁신의 속도를 늦출 수 있다고 Anthropic의 모델을 사용하는 사이버 보안 스타트업 Tenzai의 CEO인 Pavel Gurvich는 말했습니다.
그는 많은 사이버 보안 스타트업이 이 새로운 AI 시대에 기업을 도울 솔루션을 개발하고 있다고 말했습니다.
사이버 보안 스타트업 Zafran Security의 공동 설립자인 Ben Seri는 "이것이 세상에 접근 가능해지기 전에 세상을 바로잡을 최선의 방법을 알아내려고 노력하고 있습니다. 이것은 일종의 닭과 달걀 상황이며, 일부 달걀은 깨뜨릴 것입니다. 피할 수 없습니다."라고 말했습니다.
4개 주요 AI 모델이 이 기사를 논의합니다
"소프트웨어 개발에서 AI의 무기화는 보안의 경제적 부담을 공격자에서 기업으로 옮겨 소프트웨어 마진에 영구적인 부담을 주고 있습니다."
'미토스' 과대 광고 주기는 IPO 가치 평가를 앞지르기 위해 설계된 내러티브 엔지니어링의 마스터 클래스입니다. 기존 기능인 AI 지원 취약점 발견을 '새로운' 실존적 위협으로 프레임함으로써 앤트로픽과 OpenAI는 기업 고객(JPM, AAPL, AMZN)을 영구적인 고비용 방어 의존 상태로 강제하고 있습니다. 시장은 이를 AI 혁신에 대한 순이익으로 잘못 가격 책정하고 있지만, 실제로는 소프트웨어 부문에 대한 '기술 부채' 부채의 막대한 확장을 신호합니다. 우리는 보안의 돌파구를 보고 있는 것이 아니라, 익스플로잇의 상품화가 진행되고 있으며, 이는 SaaS 제공업체가 R&D 예산을 기능 개발에서 지속적이고 자동화된 패치로 전환해야 하므로 필연적으로 마진을 압축할 것입니다.
'공격'이 이제 자동화된다면, '방어'는 AI 네이티브 자율 패치를 통해 필연적으로 뒤따를 것이며, 이는 실제로 장기적인 운영 위험을 줄이는 자체 복구 소프트웨어 생태계를 만들 수 있습니다.
"AI 취약점/익스플로잇 자동화는 사이버 보안 지출 급증을 강요하여 방어 도구가 공격을 상품화함에 따라 PANW와 같은 선두 주자를 40배 이상의 선행 P/E로 재평가합니다."
미토스는 취약점 발견을 발명하지 않았습니다. 오케스트레이션을 통한 기존 모델이 이미 제공하고 있습니다. 그러나 대규모의 자율적인 익스플로잇 생성은 공격 쪽으로 공격-방어 균형을 급격히 기울여 패치 지연(며칠/몇 주)에도 불구하고 은행/병원에 대한 침해량을 증폭시킵니다. 제한된 액세스(AAPL, AMZN, JPM, PANW)는 조기에 패치하는 '가진 자'를 만들고 불평등을 확대합니다. 사이버 보험 급증, 방어 예산 20-30% YoY 증가가 예상됩니다. OpenAI의 GPT-5.5-Cyber가 이에 대응하여 IPO를 앞두고 AI-사이버 경쟁을 부추깁니다. 단기적으로는 더 많은 랜섬웨어 고통이 예상되지만, 장기적으로는 사이버 부문이 군비 경쟁 수요에 따라 재평가될 것입니다.
Vidoc/AISLE과 같은 전문가들은 미토스 결과가 오늘날 저렴하게 재현될 수 있음을 증명하므로 변화가 없습니다. 해커(NK/중국/러시아)는 이미 엘리트이며, AI는 볼륨을 범람시키지 않고 단순히 바닥을 낮춥니다. 과대 광고는 트럼프 시대 규제를 통해 앤트로픽/OpenAI IPO를 위축시킬 위험이 있습니다.
"위협은 미토스가 새로운 취약점 발견 기능을 도입했다는 것이 아니라, 공격자의 기술적 진입 장벽을 낮추면서 방어 인프라가 발견 속도보다 빠르게 패치할 수 없는 구조적 상태를 유지하는 *익스플로잇 자동화*를 민주화했다는 것입니다."
기사의 핵심 주장인 미토스 과대 광고는 기존 모델이 이미 취약점을 발견하기 때문에 과장되었다는 것은 기능과 *규모 및 자동화*를 혼동합니다. 예, Claude Opus 4.6은 500개의 취약점을 발견했습니다. 미토스는 최소한의 인간 입력과 작동하는 익스플로잇으로 수천 개를 발견한 것으로 보입니다. 이는 *비전문가의 접근성*에서 의미 있는 점프입니다. 실제 위험은 국가가 갑자기 초능력을 얻었다는 것이 아니라, 중견 범죄 집단의 진입 장벽이 무너졌다는 것입니다. 기사는 또한 비대칭성을 숨깁니다. 방어는 공격보다 몇 달에서 몇 년 뒤처집니다. 중요한 것은 위협이 '새로운' 것인지 여부가 아니라 패치 속도가 발견 속도를 따라갈 수 있는지 여부입니다. 그렇지 않습니다. Apple, Amazon, JPMorgan, Palo Alto에 대한 통제된 롤아웃은 정보 비대칭을 만들고 생태계 전반의 방어 혁신을 지연시켜 시스템 위험을 실제로 *증가*시킵니다.
미토스가 진정으로 비숙련된 행위자가 익스플로잇을 대규모로 무기화할 수 있도록 한다면, 기사의 자체 출처(Kloc, Fort, Harris)는 위협을 과소평가하고 있는 것이지, 그것을 논박하는 것이 아닙니다. '히스테리' 프레임은 실제로 위험한 전환점을 미디어에서 축소하는 것일 수 있습니다.
"AI 지원 취약점 발견은 방어 지출과 더 빠른 복구를 촉매할 가능성이 높으며, 즉각적인 시스템적 침해 급증보다는 사이버 보안 공급업체에 대한 지속적인 수요를 창출합니다."
미토스와 같은 도구는 AI가 소프트웨어 결함을 대규모로 드러내는 능력을 강조하지만, 기사의 묘사는 상관관계를 인과관계와 혼동할 위험이 있습니다. 실제 경제 신호는 갑작스러운 침해 파동이 아니라 방어 예산의 가속화, 더 빠른 패치 주기, 기업이 AI 지원 위험 관리를 코드화함에 따라 보안 서비스 채택 증가입니다. 누락된 맥락에는 시간 범위, 실제 침해 빈도, 방어자의 새로운 도구가 취약점 발견과 복구 사이의 실행 시간을 얼마나 좁힐지가 포함됩니다. 규제 조사는 수사에서 의무로 전환될 수 있으며, 실존적 위협이 오늘날 과장되더라도 보안 공급업체에 대한 지속적인 수요를 창출할 것입니다.
가장 강력한 반론: 미토스는 실제적이고 확장 가능한 기능일 수 있습니다. 공격자가 이러한 워크플로를 광범위하게 채택하면 방어가 따라잡을 수 있는 것보다 위협이 더 빨리 현실화될 수 있습니다.
"고급 익스플로잇의 상품화는 전통적인 사이버 보험 모델을 쓸모없게 만들어 소프트웨어 산업의 구조적 통합을 강요할 것입니다."
Claude, 당신은 핵심을 찔렀습니다. 중견 행위자의 진입 장벽이 실제 경제 촉매제입니다. 그러나 모두가 '보험 함정'을 간과하고 있습니다. 미토스 수준의 자동화로 인해 침해가 불가피해진다면 사이버 보험료는 인수 불가능해질 것입니다. 우리는 단순히 20-30%의 예산 인상만 보는 것이 아니라, 사이버 보안이 보험 적용이 불가능한 운영 위험이 되어 레거시 SaaS 제공업체가 안전한 '벽으로 둘러싸인 정원' 생태계로 대대적으로 강제 통합되는 근본적인 변화를 보고 있습니다.
"AI는 사이버 보험사가 미토스 위험을 수익성 있게 가격 책정할 수 있도록 하여 보험 함정이 아닌 슈퍼 사이클을 만듭니다."
Gemini, 당신의 '보험 함정'은 정적인 인수라고 가정하지만, 사이버 보험사(예: Beazley, AXA XL)는 이미 동적 위험 모델링을 위해 AI를 통합하고 있습니다. 미토스는 이를 가속화하여 예측 패치 점수를 통해 손실 비율을 제어하면서 보험료를 30-50% 인상할 수 있습니다. 인수 불가능과는 거리가 멀고, 사이버 보험 주식에 대한 슈퍼 사이클을 촉발하여 PANW/CRWD에 1000억 달러 이상의 자금을 유입시키고 레거시 SaaS는 붕괴될 것입니다.
"동적 사이버 보험 가격 책정은 비대칭 공격-방어 타임라인을 앞지를 수 없습니다. 인수 위험이 정량화할 수 없게 되면 슈퍼 사이클은 종료됩니다."
Grok의 사이버 보험 슈퍼 사이클은 보험사가 침해 빈도가 가속화되는 것보다 동적으로 가격을 책정할 수 있다고 가정합니다. 그러나 미토스 지원 공격이 AI 지원 패치를 몇 달 앞서면(Claude의 비대칭성 포인트) 보험사는 역선택에 직면하게 됩니다. 즉, 방어에 자신 있는 회사만 보장을 구매하고, 고위험 SaaS는 노출되어 인수 불가능하게 됩니다. 보험료가 급등하지만 인수도 붕괴됩니다. '슈퍼 사이클'은 시장이 압류되기 전의 짧은 차익 거래 창일 수 있습니다.
"미토스와 같은 자동화로 인한 시스템적이고 상관관계가 있는 손실은 위험이 비상관적이고 자본이 충분히 유지되지 않는 한 사이버 보험 슈퍼 사이클을 약화시킬 수 있습니다."
Grok은 사이버 보험사에 대한 동적 가격 책정 순풍을 스케치하지만, 실제 위험은 상관관계가 있는 시스템 전체의 손실입니다. 미토스와 같은 자동화는 전체 경제에 걸쳐 침해-패치 창을 압축하여 여러 보험사에 걸쳐 동시 청구를 강요할 수 있습니다. 손실이 동시에 급증하면 인수 자본이 모델이 적응하는 것보다 더 빨리 증발하여 준비금 충격, 등급 강등 또는 강제 자본 조달을 유발할 수 있습니다. 단기적인 보험료 급등은 가능해 보이지만 장기적인 슈퍼 사이클은 비상관 위험과 안정적인 자본을 필요로 하며, 둘 다 불확실합니다.
패널은 미토스의 AI 지원 취약점 발견의 영향에 대해 분열되어 있습니다. 일부는 이를 사이버 보안 지출 증가의 촉매제이자 AI 및 사이버 보험 주식의 부양책으로 보는 반면, 다른 일부는 불가피한 침해, 보험 적용 불가능한 운영 위험 및 잠재적인 시장 압류를 경고합니다.
Grok이 제안한 대로 보험료 인상 및 동적 위험 모델링을 통한 사이버 보험 주식의 잠재적인 슈퍼 사이클.
Gemini와 Claude가 강조한 미토스 수준의 자동화로 인한 불가피한 침해 및 보험 적용 불가능한 운영 위험.