--- title: "GPT-5.5, 사이버 보안 평가서 클로드 미토스 앞섰다" published: 2026-05-17T07:05:01.851Z canonical: https://jeff.news/article/2775 --- # GPT-5.5, 사이버 보안 평가서 클로드 미토스 앞섰다 영국 AI안전연구소 평가에서 GPT-5.5가 전문가급 사이버 보안 과제 통과율 71.4%를 기록하며 클로드 미토스 프리뷰를 앞섰다. 기업망 침투 시뮬레이션까지 통과하면서, AI 모델의 공격 역량이 몇 달 단위로 빠르게 상향 평준화되고 있다는 경고가 나왔다. - GPT-5.5가 영국 정부 산하 AI안전연구소(AISI)의 사이버 보안 평가에서 꽤 센 점수를 받음 - 전문가 수준의 사이버 보안 기술을 보는 95개 과제에서 평균 통과율 71.4%를 기록함 - 직전 모델인 GPT-5.4는 52.4%였으니, 한 세대 사이에 19%포인트가량 뛴 셈임 - 비교 대상이던 앤스로픽 클로드 미토스(Mythos) 프리뷰는 68.6%, 클로드 오퍼스 4.7은 48.6%였음 - 평가 범위도 단순한 보안 상식 퀴즈가 아니라 꽤 실전적임 - 취약점 탐색, 웹 공격, 암호 분석 같은 과제가 포함됨 - 특히 GPT-5.5는 기업망 침투 시뮬레이션인 더 라스트 원스(TLO)를 통과한 두 번째 모델로 기록됨 - 이 시뮬레이션은 외부 시스템 침투, 소프트웨어 취약점 악용, 최종 데이터 탈취까지 총 32단계로 구성됨 > [!IMPORTANT] > 포인트는 “AI가 보안 문제를 잘 푼다”가 아니라, 기업망 침투 흐름을 단계별로 자율 수행했다는 데 있음. 공격 자동화의 체감선이 확 올라간 얘기임. - AISI는 AI 해커의 공격 역량이 상향 평준화되고 있다고 봄 - 지난달에는 클로드 미토스 프리뷰가 TLO를 처음 통과한 모델로 기록됐음 - 이번에는 GPT-5.5도 같은 종류의 고난도 평가를 통과하면서, 특정 회사만의 특이 케이스로 보기 어려워짐 - AISI는 모델 전반의 성능 향상이 사이버 공격 역량 향상으로 이어진다면 가까운 미래에 여러 모델에서 추가 점프가 나올 수 있다고 봄 - 속도 지표가 좀 무서움 - AISI의 다른 보고서에 따르면 AI 모델의 사이버 공격 수준은 2024년 말 이후 4.7개월마다 두 배씩 늘어나는 중이라고 함 - 기존에 제시했던 8개월 주기보다 훨씬 빨라진 속도임 - 보안 조직 입장에서는 분기 단위로 위협 모델을 다시 봐야 하는 분위기임 - 빅테크의 보안 경쟁도 이제 모델 경쟁이랑 붙어버림 - 금융, 통신처럼 정보 시스템 의존도가 높은 산업에서는 사이버 보안이 곧 인프라 경쟁력이 됨 - 마이크로소프트는 100개 이상의 AI 에이전트를 조율해 보안 시스템 허점을 찾는 MDASH를 공개함 - 결국 공격자도 AI, 방어자도 AI를 쓰는 구도로 가고 있음 --- ## 기술 맥락 - 이번 평가가 의미 있는 이유는 모델의 ‘지식’이 아니라 ‘절차 수행 능력’을 봤기 때문이에요. 취약점 설명을 맞히는 것과 외부 침투부터 데이터 탈취까지 이어지는 흐름을 따라가는 건 난도가 완전히 다르거든요. - TLO 같은 시뮬레이션은 보안팀이 실제 사고 대응에서 보는 연쇄 과정을 압축해 놓은 테스트에 가까워요. 한 단계에서 얻은 정보가 다음 단계의 입력이 되기 때문에, 모델이 중간 결과를 해석하고 다음 행동을 고르는 능력이 중요해요. - AISI가 4.7개월마다 공격 역량이 두 배로 늘고 있다고 본 대목도 실무적으로 꽤 큽니다. 취약점 관리, 패치 우선순위, 침투 테스트 주기를 예전 기준으로 잡아두면 공격 자동화 속도를 못 따라갈 수 있어요. - 마이크로소프트의 MDASH처럼 방어 쪽도 여러 에이전트를 조율하는 방식으로 가는 건 자연스러운 대응이에요. 공격 표면이 넓어질수록 사람이 전부 수동으로 보는 방식은 병목이 생기고, AI가 먼저 후보를 걸러주는 구조가 필요해지거든요. ## 핵심 포인트 - GPT-5.5는 95개 사이버 보안 과제에서 평균 통과율 71.4%를 기록했다 - 기업망 침투 시뮬레이션 더 라스트 원스의 32단계를 자율 수행한 두 번째 모델이 됐다 - AI 모델의 사이버 공격 수준은 2024년 말 이후 4.7개월마다 두 배씩 증가하는 것으로 분석됐다 - 마이크로소프트도 100개 이상 AI 에이전트로 보안 허점을 찾는 MDASH를 공개했다 ## 인사이트 이제 중요한 건 특정 모델 하나가 잘하냐가 아니라, 여러 프런티어 모델이 동시에 공격 자동화 능력을 끌어올리고 있다는 점임. 보안팀 입장에서는 ‘AI가 공격자 생산성을 얼마나 올리나’를 현실 지표로 봐야 하는 시점이 됐다.