Claude Mythos, 한 줄 명령으로 OS 수천 개 취약점 찾아냈다

Anthropic이 아직 공개하지 않은 Claude Mythos라는 모델이, 단 한 줄의 명령어만으로 주요 OS와 브라우저에서 수천 개의 제로데이 취약점을 찾아냈다는 소식이 나왔다. "보안 결함을 찾아 침투해"라는 지시에 모델이 공격 체인 전체를 스스로 완성했다는 점이 특히 눈에 띈다.

보도에 따르면 Mythos는 SWE-bench Verified에서 93.9%, GPQA Diamond에서 94.6%를 기록했다. 수치만 놓고 보면 현재 공개된 상용 프런티어 모델들과 비슷하거나 앞서는 수준이다. 특히 OpenBSD처럼 오랜 시간 보안 검토를 거친 시스템에서 27년 된 버그를 새로 찾았다는 주장도 함께 언급됐는데, 이 부분은 Anthropic 공식 발표로 아직 확인되지 않아 추측성 정보로 봐야 한다.

이런 모델이 외부에 유출된다면 어떻게 될까. 지금까지의 AI 보안 논의는 주로 "모델이 위험한 정보를 알려줄 수 있는가"에 머물러 있었다. 그러나 Mythos처럼 탐색–분석–실행을 한 번에 해버리는 에이전틱 AI가 등장하면, 공격자의 진입 장벽 자체가 크게 낮아진다. 공격자가 별도로 exploit를 작성할 필요 없이, 모델에게 목표만 주면 되는 시대가 현실이 되는 셈이다.

반대로 방어 측 입장에서도 같은 기술이 활용될 수 있다. 수작업으로 수년이 걸리던 감사(audit)를 AI가 단기간에 수행한다면, 그동안 묻혀 있던 레거시 코드의 취약점이 대거 드러나 역설적으로 인터넷 전체 보안 수준이 상승할 가능성도 있다. 결국 관건은 Anthropic이 이 모델을 어떤 조건과 통제 아래 공개하느냐다.

아직 공식 발표 전이라 세부 스펙이나 출시 시점은 알려지지 않았다. 다만 사실이라면 AI 보안 업계의 게임 규칙을 크게 바꾸는 소식이다. 한국의 보안·침투 테스트 회사들도, AI 도구를 어떻게 내부 워크플로우에 붙일지 본격적으로 고민해야 하는 시점이 왔다.

---

출처 및 참고 자료

• "침투해" 한마디에 다 뚫었다… AI보안 판 뒤엎은 미토스 쇼크 — 서울신문, 2026-04-14

함께 보면 좋은 글

• Anthropic 공식 안전성 평가 프레임워크 — 모델 공개 기준과 RSP(Responsible Scaling Policy) 맥락 참고