2026년 4월 7일, 앤트로픽(Anthropic)은 클로드 미토스 프리뷰(Claude Mythos Preview)의 사이버보안 능력 평가를 공개하면서 동시에 일반 공개를 보류한다고 발표했다. AI 회사가 “성능이 너무 뛰어나서 공개를 보류한다”는 결정을 내린 사례는 사이버보안 보안 분야에서 흔친 않은 결정이다. 그러나 진짜 공포(Fear)는 이 결정 자체가 아니라 그것이 가리키는 더 큰 흐름, 피할 수 없는 시대적 변화(Fate)에 있었다.

■ 27년과 24시간 : 묵은 결함이 무기가 되다

앤트로픽 공식 보고서에 따르면 미토스는 OpenBSD의 27년 묵은 TCP SACK 버그, FreeBSD NFS의 17년 만의 RCE 취약점(CVE-2026-4747), FFmpeg H.264의 16년 묵은 결함을 자율적으로 식별하고 익스플로잇했다. 그러나 더 주목해야 할 것은 이 사실이 보여주는 의미다. 미토스는 CVE 식별자와 git commit hash 두 정보만으로-즉 패치 공개와 동시에 외부에 공개되는 정보만으로-24시간 안에, 약 2,000달러(약 300만원)의 비용으로 완전한 N-day 익스플로잇 체인을 자율 구성했다.

영국 AI Security Institute(AISI)는 이를 "단계 변화(step up)"라고 결론지었다. 패치가 공개되는 그 순간이 곧 무기화가 시작되는 순간이며, 방어자가 패치를 검토·적용할 시간보다 공격자가 무기를 구성하는 시간이 압도적으로 짧아졌다는 뜻이다.

■ 애플의 5년, 캘리프의 5일에 무너지다

5월 14일, 이러한 ‘단계 변화’가 앞으로 계속해서 반복될 수 밖에 없는 구조적 흐름임이 증명됐다. 월스트리트저널 보도에 따르면, 팔로알토 보안 스타트업 캘리프(Calif)는 미토스를 활용해 애플 M5 칩의 메모리 무결성 보호 기술(Memory Integrity Enforcement, MIE)을 우회하는 맥OS 커널 권한상승 익스플로잇을 단 5일 만에 구현했다. 애플이 5년간 막대한 자원을 투입한 상용 시장 최강의 메모리 안전 방어 체계가 AI 도움을 받은 소수의 연구자에 의해 우회당한 것이다. 여기까지가 Fear(두려움)의 정점이다.

그러나 진짜 함의는 그 결함들이 이미 알려진 카테고리에 속해 있었다는 점이다. 미토스의 강점은 새로운 버그를 발명하는 데 있는 것이 아니라 알려진 결함 클래스를 비교할 수 없는 속도로 실제 시스템에 매핑하는 데 있다. 이것이 바로 Fate(필연적 변화)의 본질이다. 애플은 이번 익스플로잇이 사용한 특정 버그들은 패치할 수 있다. 그러나 어느 누구도 연구 속도의 변화 자체는 패치할 수 없다. 우리가 마주한 것은 언젠가 사라질 위협이 아니라 영구히 가속되는 발견 능력이다.

■ Fear와 Fate, 두 얼굴이 공존하는 지금

전 세계적으로 보안 산업이 보이는 두 반응은 단순한 양자택일이 아니다. Fear와 Fate는 분리된 두 반응이 아니라, AI 시대를 살아가는 우리가 동시에 마주한 두 얼굴이다. “이제 어떻게 해야 하나”라는 두려움이 판단을 멈추게 하고, “어차피 더 강력한 모델들이 끊임없이 나오게 될텐데”라는 숙명론이 그 멈춤에 명분을 더한다. 두 얼굴 모두 부정할 수 없는 진실을 안고 있다.

Fear는 위험의 실재를, Fate는 우리가 외부에서 이 흐름을 멈출 지렛대가 없다는 한계를 정직하게 일러준다. 문제는 이 두 얼굴이 함께 행동하지 않을 이유로 굳어질 때 시작된다. Fear는 시작점을 결정하지 못한 채 사고를 마비시키고, Fate는 시작하지 않는 것의 변명을 제공한다. 분별이 필요한 자리는 둘 중 하나를 택하는 자리가 아니라, 두 얼굴을 모두 마주한 채 우리가 설 자리를 찾는 일이다.

■ 검증 부채(Validation Debt): 시간 비대칭을 측정하는 새 단위

우리가 설 자리는 질문 자체를 바꾸는 데서 출발한다. 지금까지 “어떤 도구를 쓰는가”에 답해 왔다면, 이제 질문은 “그래서 그 결과를 감당할 수 있는가”가 되어야 한다. 도구는 충분히 도입되어 있지만, AI가 도구의 출력을 수십 배로 늘리는 순간 시스템 운영의 약한 고리가 곧바로 드러난다.

필자는 이 약한 고리의 누적을 ‘검증 부채’라 칭한다. SAST·DAST·AI 도구가 쏟아내는 발견 결과 중 실제 조치 가능한 형태로 정리되는 비율은 일반적으로 낮은 편이며, 나머지는 ‘검토 대기 목록’으로 남기 때문이다. 이 대기 목록이 곧 검증 부채이며, 여기서 빠져나오지 못한 항목은 그대로 ‘보안 부채’로 전환된다.

검증 부채는 AI 시대의 변화 안에서 우리 조직의 위치를 정량적으로 측정하는 새 단위다. 공격자가 24시간 단위로 무기화하는 시대에 점검·대응 주기가 분기 단위로 작동한다면, 그 구조적 격차 자체가 곧 공격자에게는 새롭게 주어진 시간이 된다. 보안 실패는 무지가 아니라 바로 이 격차에서 발생한다.

다만 시스템 운영의 정교화만으로 이 흐름이 멈추는 것은 아니다. 산티아고 쿠엘라르(Santiago Cuellar)가 “우리는 패치로 이 상황에서 빠져나갈 수 없다(5.25, Galois)”고 단언한 이유다. 시스템 운영의 정교화는 시간을 확보하는 일이지, 흐름 자체를 끝내는 일이 아니다.

■ 이미 가진 역량의 재정렬 - 세 개의 축

우리가 무엇을 할 수 있는가를 고민하기 전에, 이미 무엇을 가지고 있는가부터 살펴야 한다. 지난 20여 년 동안 우리는 한국인터넷진흥원(KISA)의 사이버 위협정보 분석·공유 체계, 금융권 통합관제 체계, 정보보호 및 개인정보보호 관리체계(ISMS-P), 그리고 기술력을 인정받는 백신·EDR·네트워크 보안 산업을 함께 키워 왔다.

지금까지 우리의 역량이‘도구 도입’과‘점검 통과’를 평가축으로 정렬되어 왔다면, AI 시대의 평가축은‘발견된 결과를 감당하는 시스템 운영’으로 옮겨가야 한다. 이 변화를 따라갈 수 있는가가 지금의 질문이다.

이 질문에 대한 답은, 모두 새로 짓는 것이 아니라 기존 역량을 새 평가축에 맞게 활용하는 일이다. 우리의 역량 자산은 결코 적지 않다.

• 측정의 축 : 부채가 측정될 수 있어야 한다. 보이지 않는 것은 관리되지 않는다. MTTR(Mean Time to Remediate, 평균 조치 시간) 지표를 운영 KPI에 포함시키고, 검토 대기 목록(Backlog)의 누적 추이를 가시화하는 일이 출발점이다. 다만, 이 측정이 수작업 주기로 작동한다면 시간 비대칭은 좁혀지지 않는다. 김승주 고려대 교수가 데일리시큐 칼럼(5.15)에서 강조한 자동화된 위협 모델링(Automated Threat Modeling)이 이 축의 가속 도구다. 측정의 축은 지표와 가속 도구를 함께 갖춰야 한다.

• 우선 순위의 축 : 무엇을 먼저 다룰지 결정하는 기준이 필요하다. CVSS 단일 지표 중심의 우선 순위를 미국 CISA의 KEV, FIRST의 EPSS, SSVC를 통합한 다차원 우선 순위 체계로 전환해야 한다. 심각도가 아니라 실제 악용 가능성과 조직의 환경에 기반한 우선순위가 AI 시대의 운영 기준이다.

• 거버넌스의 축 : 측정과 우선순위가 조직의 결정 구조에 묶여야 한다. 위험수용 양식의 메타데이터(수용일·승인자·사유·보완통제·재평가 주기·재승인 조건·종료 조건)를 표준화하면, 위험수용이 한 번의 승인으로 닫히는 항목이 아닌 주기적 재평가의 대상이 된다. 위험수용 보고서를 이사회 정기 안건으로 끌어올리는 일이 그 다음 단계다. CISO 단독 책임을 이사회의 공동 책임으로 옮기는 거버넌스 차원의 재정렬이 필요하다.

이 세 축은 순차적 과제가 아니라 동시에 짜여야 한다. 측정 없이 우선순위는 의미가 없고, 우선순위 없이 거버넌스는 형식적이다.

■ 대응을 위한 시간은 우리가 정할 수 없다

AI의 무기화가 우리에게 강제한 것은 명확하다. 검토만 한 채 미뤄둔 항목, 위험수용으로 미뤄둔 항목, 백로그(Backlog)에 잠긴 항목을 더 이상 미뤄둘 수 없게 만든 것이다.

공격자는 우리 조직의 내부 절차를 기다려주지 않는다. 우리 보안 산업이 20년간 쌓아 온 운영 경험과 제도적 응집력은, 이 미뤄둔 결정을 새 좌표에서 다시 정렬할 충분한 토대다. 대응할 수 있는 시간은 우리 스스로 정하는 것이 아니라 공격자에 의한 AI 무기화 속도에 달려 있다.

Fear는 답이 아니다. Fate의 인정 또한 끝이 아니다. 시대의 변화가 이미 정해져 있을지언정, 그 변화 안에서 우리가 어디에 설 것인지는 아직 정해지지 않았다. Fear와 Fate 사이에서 우리가 서야 할 자리는 각성(Awakening)이다.

[글. 곽 진 아주대학교 사이버보안학과 교수. (現) 아주대학교 혁신융합원 원장, (現) 대통령직속 인공지능전략위원회 보안특별위 분과위원, (現) 한국암호포럼 의장]

출처 : 데일리시큐(https://www.dailysecu.com)