Claude Mythos Preview란 무엇인가?
Claude Mythos Preview는 앤트로픽이 개발한 차세대 범용(general-purpose) 프론티어 AI 모델입니다. 기존의 Claude Opus 계열보다 더 크고 더 강력한 새로운 모델 티어로, 특히 에이전틱 코딩(agentic coding)과 추론(reasoning) 능력에서 획기적인 도약을 이루었습니다. 앤트로픽은 내부 유출 자료를 통해 이 모델의 존재가 먼저 알려진 이후, 2026년 4월 7일 공식 프리뷰를 발표했습니다.
주목할 점은 Mythos Preview가 사이버보안을 위해 별도로 훈련된 것이 아니라는 사실입니다. 코딩, 추론, 자율성에 대한 일반적인 개선의 결과로, 취약점 탐지 및 익스플로잇 능력이 자연스럽게 부상(emergence)했습니다. 앤트로픽 연구팀은 이를 다음과 같이 설명했습니다.
"우리는 Mythos Preview가 이러한 능력을 갖도록 명시적으로 훈련하지 않았습니다. 오히려 코드, 추론, 자율성의 일반적 개선이 가져온 downstream 결과입니다. 동일한 개선이 취약점 패치에서도, 취약점 익스플로잇에서도 모두 훨씬 더 효과적으로 작동합니다." — Anthropic Red Team 기술 평가 보고서, 2026년 4월
현재 Mythos Preview는 일반에 공개되지 않으며, Project Glasswing이라는 특별 이니셔티브 내에서 선별된 40개 이상의 파트너 기관에게만 제한적으로 접근이 허용되고 있습니다.
Project Glasswing — 방어적 사이버보안 이니셔티브
앤트로픽은 Mythos Preview의 능력이 잘못된 방향으로 활용될 수 있다는 위험성을 인식하고, 이를 방어적 목적으로 먼저 활용하기 위해 Project Glasswing을 출범시켰습니다. 이 프로젝트는 세계에서 가장 중요한 소프트웨어를 AI 시대에 맞게 보안을 강화하는 것을 목표로 합니다.
이니셔티브에 참여하는 주요 파트너 기업들은 다음과 같습니다.
파트너사들은 Mythos Preview를 자사 및 오픈소스 소프트웨어 시스템의 코드 취약점 스캔에 활용하며, 그 결과를 업계 전체와 공유합니다. 앤트로픽은 이 노력을 위해 최대 1억 달러(약 1,360억 원)의 사용 크레딧을 지원하고, 오픈소스 보안 단체에 400만 달러의 직접 기부를 약속했습니다.
실제 성능: 수치로 본 Mythos Preview의 충격적 능력
기존 모델과의 벤치마크 비교
앤트로픽 레드팀이 약 한 달간의 내부 테스트 결과를 기록한 기술 평가 보고서는 Mythos Preview와 전 세대 모델 Opus 4.6 사이의 격차가 얼마나 극적인지를 보여줍니다.
| 테스트 조건 | Opus 4.6 | Mythos Preview |
|---|---|---|
| Firefox 147 JS 엔진 취약점 → 셸 익스플로잇 | 수백 회 시도 중 2회 성공 | 181회 성공 |
| OSS-Fuzz 코퍼스 Tier 5 달성 (완전한 제어 흐름 탈취) | 완전 패치된 대상에서 1회 | 10개 별도 대상에서 달성 |
| 자동화된 취약점 심각도 정확도 | — | 89% 전문가와 동일 평가 |
| 심각도 1단계 이내 일치율 | — | 98% |
제로데이 취약점
동일한 심각도 평가율
(OpenBSD TCP SACK)
실제 발견된 주요 취약점 사례
연구팀이 공개한 세 가지 구체적 발견 사례는 Mythos Preview의 능력 범위를 잘 보여줍니다.
- OpenBSD TCP SACK 취약점 (27년 된 버그): 원격 공격자가 TCP로 응답 중인 모든 OpenBSD 호스트를 크래시시킬 수 있는 서비스 거부(DoS) 취약점. 약 1,000번의 스캐폴드 실행, 총 비용 $20,000 미만으로 발견.
- FFmpeg H.264 코덱 취약점 (16년 된 버그): 2003년 커밋에서 도입되어 2010년 리팩터로 노출된 취약점. 그 후 수십 년간 모든 퍼저(fuzzer)와 인간 리뷰어의 검토를 통과했으나 Mythos가 단독 발견.
- FreeBSD NFS 서버 원격 코드 실행 (CVE-2026-4747, 17년 된 버그): 인증 없이 루트(root) 접근을 허용하는 치명적 취약점. 초기 프롬프트 이후 인간 개입 없이 Mythos가 자율적으로 완전한 익스플로잇 개발.
이 외에도 Mythos Preview는 웹 애플리케이션의 인증 우회, TLS·AES-GCM·SSH 등 주요 암호화 라이브러리의 취약점, 프로덕션 가상 머신 모니터의 게스트-호스트 메모리 손상 취약점을 발견했습니다. 또한 모든 주요 웹 브라우저에서 여러 취약점을 연쇄 활용해 JIT 힙 스프레이 익스플로잇을 구성하고 렌더러 및 OS 샌드박스를 우회하는 것도 성공했습니다.
AI가 해킹하는 방법: Mythos의 자율 취약점 탐지 프로세스
앤트로픽 연구팀이 사용한 방법론은 의외로 단순합니다. 격리된 컨테이너에서 대상 코드베이스를 실행하고, 모델에게 "보안 취약점을 찾아라"라는 프롬프트를 준 뒤 자율적으로 작동하게 합니다. Mythos Preview는 이후 다음 과정을 스스로 수행합니다.
N-day 취약점의 익스플로잇 속도 혁명
연구팀은 2024~2025년의 Linux 커널 CVE 100개를 대상으로 N-day 익스플로잇 능력도 테스트했습니다. Mythos Preview는 이를 40개의 잠재적 익스플로잇 후보로 필터링하고, 그 중 절반 이상에 대해 권한 상승(privilege escalation) 익스플로잇을 성공적으로 구성했습니다.
역사적으로 알려진 취약점을 실제 익스플로잇으로 변환하는 데는 숙련된 연구자가 수일에서 수 주가 소요되었습니다. Mythos Preview는 CVE 식별자와 git 커밋 해시만으로 시작해 하루 미만에, 비용 $2,000 이하로 완성된 익스플로잇을 만들어냈습니다. 이 타임라인이 극적으로 압축된 것입니다.
왜 일반에 공개하지 않나: 이중 사용(Dual-Use) 딜레마
앤트로픽이 Mythos Preview를 일반에 공개하지 않는 이유는 명확합니다. 동일한 능력이 방어에도, 공격에도 똑같이 강력하게 작동하기 때문입니다. 누군가 이 모델을 악의적으로 사용한다면, 패치되지 않은 제로데이 취약점을 대규모로 자동화하여 공격하는 것이 가능해집니다.
앤트로픽의 공식 발표는 이 상황을 명확하게 정의합니다. AI 모델이 소프트웨어 취약점을 찾고 익스플로잇하는 데 있어 가장 뛰어난 인간 전문가를 능가하는 수준에 도달했으며, 이러한 능력이 안전한 행위자 너머로 확산되기 전에 방어적 용도로 우선 배치해야 한다는 것입니다.
"AI 모델이 코딩 능력 측면에서 소프트웨어 취약점 발견 및 익스플로잇에서 최고 수준의 인간을 능가하는 수준에 도달했다는 사실이 명백해졌습니다. 이러한 능력이 안전하게 배치하는 데 헌신하지 않은 행위자들 너머로 확산될 때까지는 오래 걸리지 않을 것입니다." — Anthropic, Project Glasswing 공식 발표문
사이버보안 담당자와 기업이 지금 해야 할 일
앤트로픽 연구팀은 기술 보고서에서 단기적 방어 권고사항을 구체적으로 제시했습니다. 아직 AI 기반 취약점 관리를 도입하지 않은 조직을 위한 실질적 지침입니다.
- 지금 당장 현재 프론티어 모델을 취약점 관리에 통합하세요: Mythos Preview 수준이 아닌 현재 공개된 최신 모델도 OSS-Fuzz 대상, 웹 애플리케이션, 암호화 라이브러리, Linux 커널에서 고위험 취약점을 찾을 수 있습니다.
- 패치 사이클을 단축하고 자동 업데이트를 활성화하세요: CVE 태그가 붙은 의존성 업데이트를 긴급 과제로 처리해야 합니다. AI 기반 발견의 속도와 물량을 고려한 취약점 공개 정책 재검토가 필요합니다.
- 자동화된 인시던트 대응 파이프라인에 투자하세요: 더 많은 취약점 공개는 곧 패치 적용 전 창(window)에서 더 많은 익스플로잇 시도로 이어집니다. 대응 속도가 생존을 결정합니다.
- 오래된 레거시 시스템을 우선순위로 점검하세요: Mythos가 27년 된 버그를 찾아냈다는 사실은 레거시 코드베이스가 특히 취약함을 시사합니다. 오래된 오픈소스 라이브러리 의존성 감사가 시급합니다.
Mythos Preview가 불러온 사이버보안 패러다임의 전환
자동화된 취약점 발견의 역사
자동화된 취약점 발견 도구는 수십 년 전부터 존재했습니다. 퍼저(fuzzer), 정적 분석 도구, 동적 분석 도구가 보안 연구자들의 필수 도구가 된 지 오래입니다. 그러나 이 도구들은 항상 중요한 한계를 가지고 있었습니다. 버그를 발견하는 것과 실제 작동하는 익스플로잇을 구성하는 것 사이의 간격이 항상 공격자를 늦췄습니다.
Mythos Preview는 이 간격을 사실상 소멸시켰습니다. 취약점 발견에서 익스플로잇 개발까지의 전 과정을 자율적으로 수행하며, 그 속도는 인간 전문가를 압도합니다. 사이버보안의 공격-방어 균형이 근본적으로 재편되는 순간입니다.
글로벌 사이버 위협과 AI의 역할
앤트로픽의 발표 자료는 현재 사이버 공격이 경제, 공공 안전, 국가 안보에 미치는 광범위한 위협을 강조합니다. 은행 시스템, 의료 기록, 물류 네트워크, 전력망 등 현대 사회의 모든 핵심 인프라가 소프트웨어 취약점의 위협에 노출되어 있습니다. 전 세계 사이버 범죄로 인한 경제적 손실은 연간 약 5,000억 달러에 달하는 것으로 추산됩니다.
중국, 이란, 북한, 러시아 등 국가 후원 해킹 그룹들이 민간 인프라와 군사 준비 태세를 위협하는 현 시점에서, AI를 방어적 도구로 먼저 확보하는 것이 사이버 전쟁의 새로운 전략적 우선순위가 되었습니다.
결론: AI 시대의 사이버보안, 방어가 먼저다
Claude Mythos Preview는 단순한 AI 모델 업그레이드가 아닙니다. 이는 소프트웨어 보안 역사의 변곡점입니다. 수십 년간 인간의 눈을 피해 숨어 있던 취약점들이 AI에 의해 빠르게 발견되는 시대, 그리고 그 같은 AI가 악의적인 목적으로 활용될 경우 초래할 수 있는 재앙적 결과.
앤트로픽이 Project Glasswing을 통해 선택한 길은 명확합니다. 가장 강력한 AI 모델을 먼저 방어에 투입하고, 그 결과를 업계 전체와 공유하며, 공격자들이 동일한 능력을 갖추기 전에 전 세계 소프트웨어 인프라를 강화하는 것입니다. Amazon, Apple, Microsoft, Google이 모두 한 자리에 모인 것은 이 위협이 그만큼 심각하다는 신호입니다.
여러분이 보안 담당자라면 지금 당장 AI 기반 취약점 관리 도입을 검토하고, 패치 사이클을 최대한 단축하며, 레거시 코드베이스 감사를 시작하세요. Mythos가 보여준 미래는 이미 시작되었습니다.
이 포스팅이 도움 되셨다면 팔로우와 공유(Share) 부탁드립니다.
.png)