Mythos AI란 무엇이며 글로벌 사이버 보안에 어떤 위협이 될 수 있는가?

Anthropic은 최신 AI 모델인 Mythos가 전 세계 사이버 보안에 위협이 될 수 있다는 이유로 대중에게 공개하는 것을 거부했습니다.

그러나 클로드 챗봇 뒤에 있는 미국 기술 스타트업은 수요일에 한 무리의 사람들이 Mythos에 대한 무단 접근을 확보했다는 보고를 조사하고 있다고 확인했습니다. 이러한 의혹은 개발 속도와 기술 기업이 가장 위험한 제품을 공개 도메인에서 제외할 수 있는 능력에 대한 우려를 불러일으켰습니다. 여기서는 Mythos와 그 잠재적 영향에 대해 살펴봅니다.

Mythos란 무엇인가? Mythos는 챗봇과 같은 도구를 구동하는 기본 기술인 AI 모델입니다. Anthropic에 따르면 이 모델은 모든 조직의 사이버 보안에 심각한 잠재적 위협을 나타냅니다. Anthropic은 4월 7일에 Mythos의 존재를 발표했지만, IT 시스템의 알려지지 않은 취약점을 식별하는 능력 때문에 공개적으로 출시하지 않을 것이라고 말했습니다. 이론적으로 이러한 취약점은 해커에 의해 악용될 수 있습니다.

Anthropic은 사용자가 요청하는 경우 Mythos가 모든 중요한 IT 운영 체제 및 웹 브라우저의 "제로데이" 취약점을 식별하고 악용할 수 있다고 말했습니다. 제로데이는 조직과 개발자가 전혀 알지 못하고 공격자가 공격하기 전에 패치할 시간이 없기 때문에 그렇게 불립니다.

Anthropic은 이를 "사이버 보안의 분수령"이라고 설명했습니다. 샌프란시스코에 본사를 둔 이 회사는 눈에 띄지 않는 취약점 중 일부는 수십 년 동안 존재해 왔다고 말했습니다.

이 스타트업은 Apple 및 Goldman Sachs를 포함한 기술 기업 및 은행이 모델에 액세스하여 비즈니스 및 고객에게 어떤 위험을 초래할 수 있는지 평가할 수 있도록 허용했습니다.

Anthropic은 4월 8일에 기업이 사이버 보안에 대해 Mythos를 테스트할 수 있도록 Project Glasswing을 발표했습니다. 사진: Samuel Boivin/NurPhoto/Shutterstock 왜 우려의 원인이 되는가? 영국의 AI 보안 연구소(AISI)에 따르면 Mythos는 고급 AI의 파괴적인 기능을 보여주는 실질적인 증거입니다. 2022년 OpenAI의 ChatGPT가 등장한 이후 전문가들은 AI가 심각한 실제 피해를 초래할 수 있다고 경고해 왔습니다.

더 넓은 관점도 있습니다. Mythos는 AI 발전 속도를 보여주는 지표입니다. 고급 모델은 사용자에게 무료로 제공되는 오픈 소스 모델 개발자를 포함한 다른 회사에 의해 신속하게 복제되는 경향이 있습니다. 지난달 비즈니스 리더들에게 보낸 공동 서한에서 영국 기술부 장관 Liz Kendall과 안보부 장관 Dan Jarvis는 기업들이 내년에 AI 기능이 "빠르게 증가"할 것에 "적절하게 대비"해야 한다고 말했습니다. 물론 AI는 사이버 공격을 방어하는 데에도 사용될 수 있습니다.

또 다른 우려는 Mythos가 공개 출시에서 제외되었음에도 불구하고 잘못된 손에 들어갈 수 있다는 것입니다. 이번 주 Anthropic이 비공개 온라인 포럼의 "소수" 사용자가 모델에 액세스했다는 사실을 확인하면서 이러한 두려움이 현실화되었습니다.

그러나 Mythos가 강조한 수천 가지 취약점의 중요성에 대한 의문도 있습니다. 심각한 피해를 초래할 수 있을까요? 또한 IT 취약점을 강조하는 것이 이를 악용하는 것과 같지는 않습니다.

Mythos는 전문가들에 의해 평가되었는가? 세계 최고의 AI 안전 기관인 AISI는 Mythos를 검토했으며 사이버 보안에 대한 위협 측면에서 이전 모델보다 "한 단계 발전"했다고 말합니다. 위험 신호 중에는 다단계 공격을 수행하고 인간의 지침 없이 IT 취약점을 식별하는 능력이 있습니다.

또한 AISI의 눈에는 최초로 연구소가 만든 테스트에서 32단계 사이버 공격 시뮬레이션을 성공적으로 완료했습니다. AISI는 취약하고 작은 IT 시스템을 공격할 수 있지만 잘 방어된 시스템에 대한 판결을 내릴 수는 없다고 말했습니다. 연구소는 종종 다른 곳에서도 언급되는 관찰로 평가를 마무리했습니다. AI 시스템은 앞으로 더 나아질 수밖에 없습니다.

영국 국가 사이버 보안 센터의 최고 경영자인 Richard Horne은 이번 주 글래스고에서 열린 CyberUK 컨퍼런스에서 Mythos의 등장이 기업들이 "오래된 기술"을 교체하도록 장려하는 데 도움이 될 것이라고 말했습니다. 그는 "긴급성을 더할 뿐"이라고 덧붙였습니다.

그러나 다른 전문가들은 Mythos가 혁명보다는 진화에 가깝다고 말합니다. AI 사이버 보안을 전문으로 하는 Aisle은 Anthropic의 주요 주장, 즉 UNIX의 사촌인 FreeBSD를 포함한 대규모 운영 체제 및 브라우저에서 수천 개의 제로데이 취약점을 발견했다는 주장을 분석했습니다. 그들은 훨씬 더 저렴한 다른 모델들도 이러한 문제를 발견할 수 있다는 것을 발견했습니다. 그들은 이것이 Mythos의 능력이 중요하지 않다는 것을 의미하는 것은 아니지만, Anthropic의 긴급한 어조가 암시하는 것보다 더 많은 뉘앙스가 있다고 말했습니다.

또한 대부분의 침해가 여전히 약한 인증 및 아직 패치되지 않은 알려진 취약점과 같은 잘 확립된 위험에서 비롯된다는 전문가들의 신중한 의견도 있습니다.
일부 전문가들은 약 8000억 달러(5920억 파운드)로 추정되는 스타트업이 이를 발표한 방식과 Anthropic의 Mythos에 대한 주장 주변에 과대 광고 요소가 있다고 제안합니다. Mythos는 의심할 여지 없이 유능한 모델입니다. 그러나 Anthropic의 극적인 발표는 상당한 주목을 받았으며 AI가 사이버 위험에 어떻게 기여할 수 있는지에 대한 광범위한 분야 토론의 중심에 제품을 두었습니다.

기술 기업과 은행은 어떻게 관여하고 있는가? Google, JP Morgan, Goldman을 포함한 약 40개 회사가 Project Glasswing이라는 이니셔티브를 통해 Mythos에 조기 액세스했습니다. 이 이니셔티브는 기업이 사이버 방어의 일부로 AI 모델을 테스트할 기회를 제공하기 위한 것입니다. Anthropic은 그들이 배운 것을 "모든 산업이 혜택을 받을 수 있도록" 공유할 것이라고 말합니다.

그러나 출시 파트너는 Mythos가 무엇을 할 수 있는지, 그리고 얼마나 큰 위협이 될 수 있는지에 대한 세부 정보를 제공하지 않았습니다.

그렇다고 은행과 규제 기관이 잠재적 영향에 대해 추측하는 것을 막지는 못했습니다. 그리고 그럴 만한 이유가 있습니다. Anthropic의 경고가 사실이라면 Mythos가 잘못된 손에 들어가는 것은 은행에 큰 피해를 주고 잠재적으로 더 넓은 금융 시스템을 위험에 빠뜨릴 수 있습니다.

영국 정부가 Mythos가 생성되기 전에도 수행한 최악의 시나리오 은행 해킹에 대한 모델링은 직접 결제가 실패하여 임대료, 모기지 및 임금이 지급되지 않고 온라인 뱅킹 및 현금 인출기 인출이 차단될 수 있음을 시사했습니다. 통근자들은 버스와 주유소가 결제를 거부하면서 혼란에 빠질 수 있습니다. 이는 공황을 유발하여 고객들이 혼란이 확산될 수 있다는 두려움 속에서 계좌에서 돈을 인출하면서 경쟁 대출 기관에 대한 뱅크런을 촉발할 수 있습니다.

Mythos의 잠재적 위협에 대한 우려는 미국 재무장관 Scott Bessent가 이번 달 초 워싱턴에서 Goldman 및 Citi를 포함한 미국 대형 은행 책임자들과 회의를 소집하도록 촉발했습니다.

영국 규제 당국은 이번 주 Cross Market Operational Resilience Group 회의 의제에 Mythos를 추가했습니다. 이는 재무부, 영국 은행, 금융 감독 당국 및 국가 사이버 보안 센터의 고위 은행가 및 관계자 간의 고위급 논의에 포함됩니다.