--- title: "앤트로픽, 취약점 찾는 AI ‘클로드 미토스’ 공개는 안전장치부터 보고 간다" published: 2026-05-31T05:05:03.127Z canonical: https://jeff.news/article/3533 --- # 앤트로픽, 취약점 찾는 AI ‘클로드 미토스’ 공개는 안전장치부터 보고 간다 앤트로픽이 취약점 탐지 AI 모델 ‘미토스’를 일반 공개하기 전에 정부·동맹국 중심으로 제한 배포를 확대하겠다고 밝혔다. 미토스는 1,000개 넘는 오픈소스 프로젝트에서 23,019건의 이슈를 찾아냈고, 이 중 6,202건은 높음 또는 치명적 결함으로 분류됐다. 문제는 이제 버그를 찾는 속도가 고치는 속도를 압도하기 시작했다는 점이다. - 앤트로픽이 취약점 사냥 AI 모델 ‘미토스’를 바로 대중에게 풀지는 않겠다고 밝힘 - 먼저 미국과 동맹국 정부 쪽 접근을 넓히고, 그다음에 ‘미토스급 모델’을 더 넓게 공개하는 순서로 가겠다는 계획임 - 공개 시점은 확정이 아니지만, 앤트로픽은 비슷한 수준의 모델이 6~12개월 안에 널리 퍼질 가능성을 보고 있음 - 제일 흥미로운 건 앤트로픽이 꽤 솔직하게 리스크를 인정했다는 점임 - 회사는 자사 포함 어떤 업체도 모델 악용을 충분히 막을 만큼 강한 안전장치를 아직 만들지 못했다고 봄 - 그러니까 “위험하니 안 만들자”가 아니라 “어차피 퍼질 기술이면 통제 가능한 방식으로 먼저 방어 쪽에 써보자”에 가까움 > [!IMPORTANT] > 미토스는 테스트에서 실제 작동하는 익스플로잇을 72.4% 비율로 생성함. 이전 클로드 모델이 거의 0%였다는 점을 보면, 이건 단순 성능 개선이 아니라 보안 자동화의 단계가 바뀐 수준임. - 성능 숫자만 보면 왜 난리인지 바로 감이 옴 - 미토스는 1,000개 넘는 오픈소스 프로젝트를 스캔해 총 23,019건의 이슈를 찾아냄 - 그중 6,202건은 심각도 ‘높음’ 또는 ‘치명적’ 결함으로 분류됨 - 보안팀 입장에선 “와 좋다”인데, 유지관리자 입장에선 “이걸 누가 다 보냐”가 되는 상황임 - 실제로 wolfSSL 사례가 꽤 큼 - wolfSSL은 수십억 대 기기에 쓰이는 암호화 라이브러리임 - 미토스는 공격자가 인증서를 위조해 은행이나 이메일 제공자를 사칭할 수 있는 결함을 찾아냈고, 해당 취약점은 패치됨 - 이런 라이브러리급 취약점은 한 번 터지면 앱 하나가 아니라 생태계 전체에 영향을 줌 - 문제는 이제 ‘찾는 속도’가 ‘고치는 속도’를 앞지르기 시작했다는 것임 - 오픈소스 유지관리자들은 취약점 보고량이 감당 가능한 범위를 넘었다며 앤트로픽에 공개 속도를 늦춰 달라고 요청함 - 앤트로픽도 이 불균형을 인정하고, 오픈소스 보안 재단의 Alpha-Omega 프로젝트와 협력해 이슈 분류와 처리 지원을 하겠다고 밝힘 - 장기적으로는 AI가 방어자에게 유리하게 작동할 수 있다는 전망도 있음 - 하지만 앤트로픽은 현재 시점에서는 공격자가 더 빨리 이득을 볼 수 있다는 점도 인정함 - 그래서 미토스 초기 접근 권한은 애플, 마이크로소프트, 구글 등 50개 넘는 조직에 약 1억 달러 규모 크레딧과 함께 제한 제공됐고, 일반 공개는 막아둔 상태임 --- ## 기술 맥락 - 미토스가 중요한 이유는 취약점 탐지가 ‘사람이 코드 읽고 의심 지점 찾는 작업’에서 ‘AI가 대량 프로젝트를 돌며 공격 가능성까지 확인하는 작업’으로 바뀌고 있기 때문이에요. 단순 정적 분석 도구보다 파급력이 큰 건, 실제 익스플로잇 생성까지 연결될 수 있어서예요. - 앤트로픽이 바로 공개하지 않는 이유는 방어와 공격의 경계가 너무 얇기 때문이에요. 같은 모델이 오픈소스 유지관리자에게는 패치 우선순위를 알려주는 도구가 되지만, 공격자에게는 취약한 프로젝트 목록과 공격 힌트를 주는 도구가 될 수 있거든요. - wolfSSL 사례가 큰 건 암호화 라이브러리가 여러 제품의 밑바닥에 깔리는 의존성이기 때문이에요. 서비스 코드의 버그 하나와 달리, 이런 라이브러리 결함은 패치 전파가 느리면 수많은 기기와 앱에 오래 남을 수 있어요. - 그래서 앞으로 필요한 건 취약점 탐지 모델 자체보다 triage, 패치 생성, 영향 범위 분석까지 이어지는 처리 파이프라인이에요. 찾기만 빠르고 고치는 쪽이 그대로면, 유지관리자에게는 보안 향상이 아니라 알림 폭탄이 될 수 있어요. ## 핵심 포인트 - 미토스는 실제 작동하는 익스플로잇을 72.4% 비율로 생성했고, 이전 클로드 모델은 거의 0%에 가까웠다. - 앤트로픽은 악용을 막을 안전장치가 아직 충분하지 않다고 인정하면서도, 6~12개월 안에 비슷한 수준의 모델이 널리 퍼질 것으로 본다. - wolfSSL 암호화 라이브러리에서 인증서 위조로 은행·이메일 제공자를 사칭할 수 있는 결함을 찾아냈고, 해당 취약점은 패치됐다. - 오픈소스 유지관리자들은 보고량이 감당 가능한 수준을 넘었다며 공개 속도 조절을 요구하고 있다. ## 인사이트 보안 AI가 ‘방어자에게 좋은 도구’라는 말은 맞지만, 지금 당장은 공격자와 유지관리자 사이의 속도 차이를 더 크게 만들 수 있다. 한국 개발자 입장에서도 오픈소스 의존성이 많은 서비스라면 이 변화는 꽤 직접적인 리스크다.