본문 바로가기
POST/Insight

[특집] Mythos가 바꾼 보안 패러다임: AI 취약점 폭풍 속 소프트웨어 공급망 생존 전략

장수영2 2026. 4. 28. 06:00

Generated bu

 

인간 전문가가 수개월을 매달려도 찾지 못했던 27년 된 OpenBSD의 보안 취약점이 단 몇 분 만에 AI에 의해 발견되었습니다. FFmpeg에서는 16년간 존재한 취약점이, 그리고 여러 리눅스 코드 결함을 조합해 서버 전체를 장악하는 공격 방법까지— 앤트로픽은 자사 홈페이지를 통해 세 가지 실제 사례를 공개했습니다.

 

단순히 이론적인 이야기가 아닙니다. 앤트로픽의 최신 모델 '클로드 미토스(Claude Mythos)'는 주요 운영체제와 웹 브라우저에서 수천 개의 제로데이 취약점을 쏟아내며 전 세계 보안 커뮤니티를 충격에 빠뜨렸습니다.

 

하지만 진짜 공포는 발견 그 자체가 아닙니다. 이제 공격자들은 단돈 몇 달러의 API 비용만으로도 방금 발표된 취약점에 대한 실행 가능한 공격 코드를 수분 내에 생성할 수 있게 되었습니다.

 

이제 우리는 'AI의 시간'으로 움직이는 거대한 AI 취약점 폭풍(AI Vulnerability Storm)을 마주하고 있습니다.

 

보안 패러다임의 거대한 전환점

  • 탐지 속도의 비약적 상승: 숙련된 해커가 수개월 걸릴 작업을 AI는 수분 내에 완료합니다.
  • 공격의 민주화: 저렴한 비용으로 고수준의 익스플로잇 코드를 무한 생성 가능해졌습니다.
  • 공급망 통제 불능: 패치가 나오기도 전에 공격이 시작되는 '마이너스(-) 7일'의 시대가 도래했습니다.

미토스의 등장은 단순한 도구의 변화가 아닙니다. 물리적 제조업이 수공업에서 자동화 생산으로 전환된 것처럼, 소프트웨어 개발 생명주기(SDLC) 자체가 AI-SDLC로 구조적 전환을 맞이하고 있습니다. 그런데 보안 모델은 아직 이 변화를 따라잡지 못하고 있습니다.

클로드 미토스, 보안 전문가를 압도하다

앤트로픽의 '클로드 미토스'는 단순한 코드 생성 도구가 아닙니다. 자율 보안 분석 기능을 통해 최상위 인간 전문가 수준의 취약점 탐지 능력을 보여주며 전 세계를 놀라게 했습니다.

 

미국 CBS뉴스는 "미토스가 지구에 있는 컴퓨터의 모든 보안 취약점을 탐지할 수 있다"고 보도했고, 앤트로픽이 관련 프로젝트에서 밝힌 바에 따르면 AI 모델은 이제 소프트웨어 취약점을 찾고 악용하는 능력에서 최상위 인간 전문가를 제외한 대부분을 능가하는 수준에 도달한 것으로 평가됩니다.

 

미토스가 얼마나 강력한지, 앤트로픽은 일반에 공개하지 않고 대신 '글래스윙(Glasswing) 프로젝트'를 발족해 선별된 기업에만 제공했습니다.

글래스윙 초기 멤버사(12곳): AWS, 애플, 브로드컴, 시스코, 구글, 크라우드스트라이크, JP모건, 리눅스파운데이션, 마이크로소프트, 엔비디아, 팔로알토, 앤트로픽

 

외 약 40곳이 접근 권한을 부여받았으며, 앤트로픽은 관련 보안 분석 보고서를 오는 2026년 7월 초 공개할 예정입니다.

 

쏟아지는 CVE, 마이너스 7일의 시대

 

보안 분석가 앨리 멜런은 경고합니다. 취약점 발견부터 악용까지의 시간이 극적으로 단축되고 있다는 사실입니다.

 

이는 체감이 아닌 데이터로 증명된 사실입니다. 맨디언트 M-Trends 2026 보고서는 글로벌 500,000시간 이상의 사고 조사를 기반으로, 취약점 공개 전 이미 공격이 시작되는 평균 마이너스 7일 현상을 공식 확인했습니다.

 

더욱 놀라운 것은 공격자 간의 협업 속도입니다. 2022년에는 초기 침투 후 2차 공격 그룹에게 접근권을 넘기는 데 평균 8시간 이상 걸렸지만, 2025년에는 그 '핸드오프 윈도우'가 불과 22초로 붕괴되었습니다.

 

따라서 기존의 수동적인 패치 방식으로는 이 폭풍 같은 공격 속도를 감당할 수 없습니다.

공격 가속화의 4대 요인

  1. 저비용 고효율: 몇 달러의 API 비용으로 전문 해커급 성능을 발휘합니다.
  2. 무한 확장성: 수만 개의 오픈소스 프로젝트를 동시 스캔할 수 있습니다.
  3. 자동화된 무기화: 탐지 즉시 실행 가능한 익스플로잇 코드를 생성합니다.
  4. AI 자체가 악성코드에 내장: PROMPTFLUX, PROMPTSTEAL 같은 멀웨어는 이미 실행 중에 LLM을 직접 쿼리해 탐지를 우회하고 있습니다. QUIETVAULT 같은 자격증명 탈취 악성코드는 감염 기기에서 AI 명령줄 도구를 찾아내 설정 파일을 자동으로 수집합니다.

소프트웨어 공급망이 타겟인 이유

맨디언트 M-Trends 2026 보고서에 따르면 공격자들은 기업의 직접적인 방어벽보다 신뢰 관계를 이용한 공급망을 노립니다.

 

Axios NPM 패키지 공격이 그 전형입니다. 북한 연계 위협 행위자들이 Axios 오픈소스 메인테이너 한 명을 소셜 엔지니어링으로 속여 npm 자격증명을 탈취하고, 주당 1억 건 이상 다운로드되는 패키지에 백도어를 심었습니다. 악성 코드는 npm에서 삭제되기 전까지 약 3시간 동안 활성 상태였습니다.

 

2025년 기준 사이버 스파이 활동과 북한 IT 위장 취업 사건에서의 평균 체류 시간(Dwell Time)은 122일에 달했습니다. 특히 BRICKSTORM 같은 인메모리 백도어는 네트워크 장비에 직접 심겨 400일 가까이 탐지되지 않은 사례도 있습니다. 표준적인 90일 로그 보존 정책으로는 이 공격의 초기 진입 경로조차 파악할 수 없습니다.

보안 모델의 패러다임 시프트

구분 전통적 방식(Human-Led) AI 시대 방식 (AI-Driven)
대응 속도 수주 ~ 수개월 (패치 중심) 실시간 ~ 수분 (예방 중심)
핵심 전략 알려진 위협 차단 제로데이 탐지 및 공급망 통제
핸드오프 침투 후 8시간 침투 후 22초
탐지 출처 외부 알림 의존 내부 탐지 52% (2025년 기준)

2025년 맨디언트 조사의 핵심 수치:

  • 글로벌 평균 체류 시간: 14일 (전년 11일에서 상승)
  • 익스플로잇이 초기 침투 벡터 1위: 32% (6년 연속)
  • 음성 피싱(Vishing) 급부상: 11% (2위로 진입)
  • 가장 많이 표적이 된 산업: 하이테크(17%) > 금융(14.6%)

전문가가 말하는 대응 전략

"현재의 소프트웨어 보안 관행으로는 이 위협을 감당하기 어렵습니다. 앞으로 1년간 엄청난 규모의 버그와 패치가 쏟아질 텐데, 공격 측 AI 발전 속도에 맞먹는 수준의 방어 측 혁신이 필요합니다." — 케이티 무수리스, 루타 시큐리티(Luta Security) 창립자

"이것은 AI가 초래하는 사이버 위험에 대해 전면적인 대응이 시작되는 초기 단계다." — 만타스 마제이카, AI Safety Center 연구원

"미토스 등장은 악의적 공격자보다 앞서 나갈 수 있는 기회다. 이제 우리는 시스템에 존재할 수 있는 취약점을 미리 찾아낼 수 있는 능력을 갖게 됐다." — V.S. 수브라마니안, 노스웨스턴대 컴퓨터과학자

 

 

AI 취약점 폭풍 생존 가이드

✅ 90일 보안 강화 체크리스트

  • Day 1-30: 자산 식별 및 가시성 확보 기업 내 사용 중인 모든 오픈소스와 라이브러리 목록(SBOM)을 실시간으로 업데이트하세요.
  • Day 31-60: 자동화된 패치 파이프라인 구축 인간의 개입을 최소화하고, 검증된 소스코드로부터 직접 빌드하는 환경을 조성해야 합니다. 구체적으로는 컴포넌트를 사용 전에 분석하고, 소비 시점에 정책을 강제하며, 악성 컴포넌트를 실시간으로 차단하는 자동화된 의존성 관리 체계가 필요합니다.
  • Day 61-90: AI 보안 에이전트 도입 미토스와 같은 모델에 대응하기 위해 방어용 AI 에이전트를 보안 운영(SecOps)에 결합하세요. 단, 주의할 점이 있습니다. AI는 단독으로 이 문제를 해결할 수 없습니다. AI는 조직의 정책, 리스크 허용 범위, 내부 시스템의 맥락을 이해하지 못하며, 실시간 위협 변화에 뒤처지는 데이터로 작동합니다. 발견(Discovery)은 통제(Control)가 아닙니다. AI를 보조 도구로 활용하되, 공급망 전체에 대한 정책 기반 통제 체계를 구축하는 것이 핵심입니다.

추가로 즉시 실행해야 할 권고 사항:

  • 로그 보존 기간을 대폭 연장하세요. 표준 90일 정책은 BRICKSTORM처럼 400일 이상 잠복하는 지능형 지속 위협(APT)을 탐지하기에 턱없이 부족합니다.
  • 정적 IOC 기반 탐지에서 행동 이상 탐지로 전환하세요. 공격자들은 인프라를 빠르게 교체하고 인메모리 악성코드를 사용하므로, 이상 행동 패턴 기반의 탐지 모델이 필수입니다.
  • ID 검증을 지속적으로 수행하세요. 음성 피싱(Vishing)이 MFA를 우회하는 주요 수단으로 부상한 만큼, SaaS 연동을 정기적으로 감사하고 최소 권한 원칙을 엄격히 적용해야 합니다.

 

발견이 아닌 '통제'의 시대로

 

우리는 지금 보안의 역사가 바뀌는 가장 급격한 변곡점 위에 서 있습니다.

 

앞으로 보안의 핵심 전선은 코드 그 자체가 아니라 소프트웨어 공급망 전체입니다. 여러분의 팀이 직접 작성하는 코드는 전체의 일부에 불과합니다. 대부분의 위험은 오픈소스 의존성, 전이적 의존성, 빌드 파이프라인을 통해 유입됩니다. 공급망을 통제하지 못하면 리스크도 통제할 수 없습니다.

미래 보안을 위한 핵심 요약

  1. 예방적 설계(Secure by Default): 사후 패치가 아닌, 빌드 단계부터 검증된 소스만을 사용하는 환경을 구축해야 합니다.
  2. 가시성의 확장: 90일 로그 보존으로는 부족합니다. APT 대응을 위해 로그 보존 기간을 대폭 늘려야 합니다.
  3. 협력적 생태계 구축: 공급망 보안은 혼자 할 수 없습니다. '글래스윙' 프로젝트처럼 기업 간 협력을 통해 공동 대응 체계를 마련해야 합니다.
  4. 에이전틱 개발 시대에 대비하라: AI 어시스턴트를 넘어 에이전트가 자율적으로 코드를 작성하고 의존성을 선택하는 시대가 도래합니다. 보안 정책은 이 에이전트들도 통제할 수 있어야 합니다.

 

폭풍은 이미 시작되었습니다. 하지만 두려워할 필요는 없습니다. 새로운 도구와 새로운 전략으로 무장한다면, AI는 위협이 아니라 우리의 가장 강력한 방패가 될 것입니다. 지금 여러분의 공급망은 미토스의 폭풍을 견딜 준비가 되셨습니까?

 

 

원문 출처: 

https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2026/

https://red.anthropic.com/2026/mythos-preview/

https://zdnet.co.kr/view/?no=20260412123017

https://www.chainguard.dev/unchained/ai-is-finding-vulnerabilities-faster-than-anyone-can-patch-them-now-what

https://www.sonatype.com/blog/mythos-and-the-ai-vulnerability-storm

 

 

 

 

 

 

 

저작자표시 비영리 변경금지 (새창열림)

'POST/Insight' Related Articles

티스토리툴바