--- title: "앤트로픽 '미토스', 27년 묵은 OpenBSD 버그까지 탐지… 위험성 때문에 후속 모델은 '성능 축소'" published: 2026-04-19T04:05:03.606Z canonical: https://jeff.news/article/1802 --- # 앤트로픽 '미토스', 27년 묵은 OpenBSD 버그까지 탐지… 위험성 때문에 후속 모델은 '성능 축소' 앤트로픽 AI 모델 미토스가 오픈BSD 27년 묵은 원격 취약점을 포함한 수천 건의 제로데이를 탐지하면서 AI 보안의 판도를 바꾸고 있다. 해킹 자동화 우려 때문에 앤트로픽은 후속 모델 오퍼스 4.7에서 의도적으로 사이버 보안 기능을 축소했고, 미국 정부도 도입을 재검토 중이다. - 앤트로픽이 공개한 AI 모델 '미토스'가 사이버 보안의 게임 체인저로 떠오르면서 동시에 판도라 상자 논란을 일으키는 중 - 수천 건의 제로데이 취약점 탐지 — 그 중에는 **수십 년간 잠재돼 있던 문제**도 포함 - 대표적으로 오픈소스 OS 오픈BSD에서 **27년 된 버그**를 찾아냄 (원격 접속만으로 시스템 다운 가능한 수준) ### 보안 혁신의 순기능 - 기존 보안 시스템이 놓친 취약점을 대규모로 찾아냄 — AI가 '능동적 보안 분석가' 역할을 수행할 수 있음을 시사 - 앤트로픽은 이 능력을 검증하기 위해 **'프로젝트 글래스윙'** 출범 (4월 16일) - 90일 내 학습 내용과 공개 가능한 취약점 수정·개선 사항을 공개 예정 > [!WARNING] > 27년 묵은 OpenBSD 원격 시스템 다운 취약점이 AI에게 수시간 만에 발견됐다. 이 능력이 방어자에게만 주어지는 게 아니라는 게 핵심이다. ### 위험성 논란 — 앤트로픽의 '의도적 성능 축소' - 강력한 취약점 탐지 능력이 곧 해킹 자동화 능력이라는 게 업계의 우려 - 앤트로픽은 후속 모델 **오퍼스 4.7**에서 의도적으로 사이버 보안 기능을 축소 - SWE-벤치 프로 **64.3%**, SWE-벤치 베리파이드 **87.6%** — 코딩 성능은 최고 수준 - 금융 분석 지표 64.4%로 경쟁 모델 앞섬 - 그런데 앤트로픽은 "미토스 미리보기 대비 기능이 일부 제한적"이라고 **명시적으로 밝힘** - 해킹 등 고위험 요청을 자동 탐지·차단하는 안전장치 적용 + **사이버 보안 기능을 훈련 단계에서 줄이는 실험** 진행 - AI 성능을 일부 희생하더라도 위험성을 통제하려는 '의도적 제약 설계' 사례 ### 국가 안보 이슈로 확산 - 미국 정부는 한때 앤트로픽 모델 사용 중단을 검토하다가 미토스 등장 후 도입 재검토 국면 - 백악관 관리예산국(OMB) CIO가 각 부처에 "적절한 보안 규정과 안전장치를 마련 중"이라며 신중한 접근 시사 (블룸버그 16일 보도) - 각국 정부·금융당국이 긴급회의를 열고 대응 방안 논의 - 앤트로픽은 미토스를 일반 공개 대신 **일부 기술·금융 기업에만 제한적으로 우선 제공** - 7월에 공개 예정인 미토스 보고서가 AI 보안 정책 기준점이 될 가능성 --- ## 기술 맥락 제로데이 취약점이 뭐길래 이렇게 큰 이슈가 되는지부터 풀어볼게요. 제로데이는 "패치가 나오기 전에 발견된 취약점"이에요. 공격자 입장에서는 방어 수단이 없는 상태로 뚫을 수 있어서 암시장에서 수십만~수백만 달러에 거래되는 자산이거든요. AI가 수천 건을 한 번에 찾아내면, 이 경제 자체가 무너져요. 오픈BSD 27년 버그 사례가 상징적이에요. 오픈BSD는 보안을 최우선으로 설계한 OS로 유명한데, 인간 보안 전문가들이 27년간 못 찾은 버그를 AI가 찾아냈다는 건 기존 보안 검토 프로세스의 한계를 드러낸 거죠. 퍼저(fuzzer)나 정적 분석기로도 찾기 어려운 논리적 결함을 LLM이 코드 맥락을 이해하면서 잡아내는 패턴이에요. 앤트로픽이 오퍼스 4.7에서 "의도적으로 성능 축소"한 건 AI 안전성 논의에서 중요한 선례예요. 성능이 좋을수록 좋다는 기존 AI 경쟁 프레임에 반대하는 거거든요. 훈련 데이터에서 사이버 보안 관련 내용을 빼거나 RLHF 단계에서 해당 요청을 거부하도록 튜닝하는 식인데, 이게 효과적인지는 또 다른 논쟁거리예요. 오픈소스 모델이 같은 수준에 도달하면 통제가 불가능해지니까요. 미국 정부가 앤트로픽 도입을 재검토한다는 대목도 의미심장해요. 공격용으로도 방어용으로도 쓰일 수 있는 이중용도(dual-use) 기술이라, 규제 프레임 자체를 새로 짜야 하는 상황이거든요. 7월에 나올 미토스 보고서가 분수령으로 꼽히는 이유예요. ## 핵심 포인트 - 미토스가 수천 건의 제로데이 취약점 탐지 — 오픈BSD 27년 묵은 원격 다운 버그 포함 - 앤트로픽은 '프로젝트 글래스윙' 출범, 90일 내 취약점 수정 공개 예정 - 후속 모델 오퍼스 4.7은 SWE-벤치 베리파이드 87.6% 등 최고 코딩 성능에도 사이버 보안 기능을 의도적으로 축소 - 앤트로픽은 미토스를 일반 공개 대신 일부 기술·금융 기업에 제한적 우선 제공 - 미국 백악관 OMB가 미토스 도입 재검토 착수, 7월 공개 보고서가 AI 보안 정책 분수령 ## 인사이트 공격용으로도 방어용으로도 쓰일 수 있는 이중용도 기술을 기업이 자발적으로 성능 축소한 선례는 AI 안전 규제의 새로운 모델이 될 수 있다. 성능 경쟁 일변도에 제동을 거는 흐름이다.