앤트로픽(Anthropic)의 AI 모델 미토스(Mythos, 이하 미토스) 등장 이후 사이버보안 분야의 위협 구조가 근본적으로 바뀌고 있다는 진단이 국내 보안 전문가들 사이에서 나오고 있다. 전문가들은 미토스가 단순히 취약점 탐색 능력이 뛰어난 도구가 아니라, 사이버 공격의 비용과 속도를 낮추고 방어자의 대응 시간 압박을 높이는 동시에 취약점 정보 자체를 국가안보 자산으로 만드는 전환점이라고 평가했다.
전문가들이 공통으로 짚은 첫 번째 변화는 공격 비용의 하락이다. 기존에는 공격자가 대상 시스템을 직접 분석하고 취약점을 찾아 공격 경로로 연결하는 데 상당한 시간과 비용이 필요했다. AI가 이 과정을 보조하거나 대신하면 탐색 비용이 낮아지고, 기존에는 공격자의 관심 밖이었던 소규모 시스템도 공격 대상이 될 수 있다. 아주대학교 사이버보안학과 교수는 기존 AI 기반 공격 도구가 사람의 개입을 전제한 ‘자동화’ 수준이었다면, 최근의 AI는 여러 단계를 자율적으로 이어가는 ‘자율화’ 방향으로 진화하고 있다고 분석했다. 앤트로픽이 추진한 글래스윙(Glasswing) 프로젝트에서 미토스 프리뷰는 협력 기관의 소프트웨어 취약점 점검에 활용돼 1만 건이 넘는 취약점 발견에 기여한 것으로 알려졌다. 클라우드플레어(Cloudflare)는 미토스가 여러 약한 신호를 조합해 실제 공격 가능성을 검증하는 데 강점을 보였다고 평가했다.
두 번째 변화는 취약점 정보의 전략 자산화다. AI가 취약점을 더 빠르게 대량으로 찾고 검증할 수 있게 되면, 누가 먼저 취약점을 발견하고 통제하느냐가 국가 간 안보 경쟁력의 변수가 된다. 고려대학교 정보보호대학원의 한 전문가는 코딩 능력을 갖춘 AI가 취약점 탐지와 공격 도구 생성, 패치 자동화로 연결되면 사이버보안 자체가 전략 자산이 된다고 설명했다. 앤트로픽은 글래스윙 프로젝트 참여 기관을 기존 50여 곳에서 150~200곳 수준으로 확대하는 방안을 추진하고 있으며, 한국 과학기술정보통신부도 한국인터넷진흥원(KISA)과 삼성전자·SK하이닉스·SK텔레콤 등 국내 기업의 참여를 확보했다고 밝혔다.
AI 에이전트의 확산은 또 다른 차원의 보안 과제를 만들어낸다. AI 에이전트가 사람의 권한을 위임받아 파일에 접근하고 시스템을 호출하는 방식으로 업무를 수행하면, 허용하지 않은 행동으로 이어질 위험이 커진다. 전문가들은 에이전트가 사용한 권한, 접근한 시스템, 호출한 도구를 추적·관리할 수 있는 가시성(visibility)과 비인간 신원(Non-Human Identity) 관리 체계를 갖춰야 한다고 강조했다. AI 에이전트가 업무를 실행할 때 발생하는 법적 책임도 쟁점으로 부상했다. 에이전트의 행동으로 인한 법적 효과는 기본적으로 이를 지시·활용한 사람이나 사업자에게 귀속되므로, 기업이 에이전트의 권한 범위와 행위 기록을 내부 규정으로 명확히 설계해야 한다는 지적이 나온다. 취약점을 합법적으로 찾고 공유할 수 있는 절차 정비도 과제로 꼽혔다. 정부는 ‘보안취약점 상시 신고조치제’ 시범사업도 추진한다고 발표했다.
