앤트로픽(Anthropic)이 4월 7일 공개한 새로운 인공지능 모델 Claude Mythos(이하 ‘미토스’)가 복잡한 사이버공격을 고도화할 수 있다는 경고가 제기되면서, 특히 레거시(legacy) 기술을 광범위하게 사용하는 은행 및 금융기관들이 큰 도전에 직면해 있다는 분석이 나왔다.
2026년 4월 13일, 로이터 통신의 보도에 따르면, AJ Vicens와 Raphael Satter가 작성한 이번 보도는 미토스가 코딩과 자율행동(Agentic) 과제에서 회사가 밝힌 대로 “가장 능력이 뛰어난” 모델로, 고급 수준의 코드 생성 능력을 통해 기존에 발견되지 않았던 보안 취약점을 찾아내고 이를 악용하는 방법을 제안할 수 있다고 전했다.
앤트로픽은 4월 7일 블로그 게시물에서 미토스를 “코딩 및 에이전트 과제에 있어 지금까지의 모델 중 가장 유능하다”고 설명했다. 회사는 동시에 모델을 일반에 공개하지 않겠다고 밝혔고, 대신 프로젝트 글라스윙(Project Glasswing)을 통해 주요 기술기업, 사이버보안 업체, 그리고 제이피모건체이스(JPMorgan Chase) 등 수십여 개 기관을 초청해 모델을 비공개로 평가하고 방어 전략을 준비하도록 했다고 발표했다.
전문가 경고와 은행권의 취약성
엔터프라이즈 AI 보안업체 Guardrail Technologies의 최고경영자 TJ Marlin은 미토스 프리뷰가 “매우 복잡한 아키텍처를 가로질러 볼 수 있다”며 특히 수십 년에 걸쳐 누적·통합된 레거시 인프라에서 지금까지 발견되지 않았던 취약점과 복잡성이 접근 가능해진다고 지적했다. 그는 이러한 능력이 은행권의 다양한 시스템을 횡단하면서 발견된 공통 취약점을 악용할 경우, 침해의 확산 효과(force multiplier)가 발생해 “대규모로 잠재적으로 치명적”이 될 수 있다고 평가했다.
샌프란시스코 기반의 컨설턴트로 전 미 연방검사국(Office of the Comptroller of the Currency) 출신인 Naresh Raheja는 은행업계가 고객 온보딩, 고객확인(KYC) 및 거래 처리를 위해 동일하거나 유사한 좁은 범위의 소프트웨어를 광범위하게 사용한다는 점을 지적했다. 그는 “특화된 업종이고 규제가 엄중하여 IT 상호연결성이 많다”고 말했다. 이는 동일한 벤더와 솔루션을 이용하는 기관들이 하나의 공통 약점을 통해 동시에 위험에 노출될 가능성을 의미한다.
취약점 식별 사례와 영향 범위
앤트로픽은 프로젝트 글라스윙 발표와 함께 공개한 기술 블로그에서 미토스 프리뷰가 모든 주요 운영체제와 모든 주요 웹 브라우저에서 이전에 알려지지 않은 취약점을 식별·악용할 수 있다고 밝혔다. 연구진은 모델이 “수천 건”의 높은 수준 및 심각 수준의 취약점을 식별했다고 설명했으며, 이는 데이터 유출과 운영 중단 등 중대한 영향을 초래할 수 있다고 표시했다.
구체적 사례로 연구진은 널리 사용되는 오픈소스 오디오·비디오 처리 라이브러리인 FFmpeg에서 16년 된 취약점을 찾아냈고, 동시에 호스트 시스템을 보호하도록 설계된 분리된 가상 컴퓨터를 생성하는 소프트웨어인 가상 머신 모니터(virtual machine monitor)의 미명시된 프로그램에서 버그를 식별했다고 기술했다.
사이버보안 임원과 전직 고위 미 정부 관료들로 구성된 클라우드 시큐리티 얼라이언스(Cloud Security Alliance) 연합은 4월 12일 전략 브리핑에서 미토스가 “능력 있는 AI 모델의 궤적에서의 전환점(a step change)”을 의미하며, 이는 조직들이 패치를 적용하는 속도보다 취약점을 더 빠르게 발견·악용할 수 있는 비용과 기술적 장벽을 낮춘다고 경고했다.
금융권의 대응 움직임과 정부 교섭
적어도 미국, 캐나다, 영국 등 세 개국의 정부 관리들이 주요 은행 임원들과 만나 클로드 미토스 프리뷰가 제기하는 위협을 논의한 것으로 전해졌다. 미 재무부는 도널드 트럼프 행정부가 금융기관들에 “다양한 시장 전개를 이해하고 예측할 것”을 촉구하고 있으며, 해당 문제와 관련한 추가 회의가 계획되어 있다고 밝혔다.
앤트로픽은 미토스 프리뷰를 일반 공개하지 않기로 했으나, 프로젝트 글라스윙을 통해 주요 기술사와 사이버보안 업체, 그리고 제이피모건체이스 등 수십 개 기관을 초청해 모델을 비공개로 평가하고 방어체계를 준비하도록 했다고 밝혔다. 제이피모건체이스는 지난주 성명에서 이 그룹의 일원으로 참여 중이며, 이를 “중요 기반시설 전반의 방어적 사이버보안 평가를 위한 독특한 초기 단계 기회”로 규정했다고 밝혔다.
한편 IBM은 4월 9일 블로그 게시물에서 미토스가 “기업 보안팀으로 하여금 방어를 근본부터 재고하게 만들고 있다”며, 더 많은 기업과 연구자가 모델에 접근해 모두의 보안 수준을 높이는 오픈소스 접근법이 필요하다고 촉구했다.
전문 용어와 배경 설명
FFmpeg는 오디오·비디오 파일을 처리·변환하는 오픈소스 소프트웨어 라이브러리로, 스트리밍 및 미디어 처리 분야에서 광범위하게 사용된다. 가상 머신 모니터(또는 하이퍼바이저)는 물리적 호스트 위에서 여러 가상 컴퓨터를 분리해 운영하는 소프트웨어로, 각 가상환경이 호스트 시스템 또는 다른 가상환경으로부터 격리되도록 설계된다. 레거시 시스템은 수십 년 전에 개발되어 꾸준히 패치와 업데이트를 통해 운영되는 구형 소프트웨어·하드웨어를 뜻하며, 이러한 시스템들은 현대의 보안 표준을 완전히 충족하지 못할 가능성이 높다.
Agentic tasks(자율행동 과제)는 AI가 입력된 지시를 바탕으로 여러 단계를 자율적으로 계획·실행하는 능력을 말한다. 이 능력은 보안 취약점의 탐색·검증·익스플로잇(악용) 코드 자동 생성까지 확장될 수 있다.
금융시장 및 산업에 미칠 파급 영향 분석
미토스와 유사한 고성능 코드 생성형 AI의 등장은 금융권의 사이버 보안 비용과 규제 부담을 증대시킬 가능성이 크다. 우선, 은행들은 단기간 내에 모든 레거시 시스템을 교체할 수 없으므로, 취약점 탐지·대응을 위한 추가적인 보안 투자와 전문 인력 충원이 필요하다. 이러한 지출 증가는 단기적으로 운영비(OPEX) 상승과 자본지출(CAPEX) 재조정으로 이어질 수 있다.
또한 동일한 소프트웨어·서비스를 사용하는 다수의 금융기관이 동시에 표적이 될 경우, 사건 대응 비용과 평판 손상으로 인한 고객 이탈 위험이 확대될 수 있다. 사이버보험 시장에서는 손해액 및 사고 빈도 증가에 따라 보험료 인상이 불가피하며, 이는 금융기관의 비용 구조에 추가적인 압박을 가할 것이다.
규제 당국은 은행권의 시스템 보강과 공급망 전반의 보안 점검을 요구할 가능성이 높다. 이는 단기적 규제 준수 비용 증가를 초래하지만, 중장기적으로는 보다 엄격한 보안 표준과 공급망 다변화가 도입되어 시스템 복원력(resilience)이 향상될 수 있다. 투자자 관점에서는 보안 대응 능력이 취약한 기관에 대해 리스크 프리미엄을 요구하거나, 관련 보안 기술을 보유한 기업의 가치가 상대적 상승을 보일 가능성이 있다.
실무적 권고와 향후 전망
전문가 추천은 다음과 같다. 첫째, 금융기관은 중요 자산과 서비스에 대한 우선순위 기반의 취약점 스캐닝 및 보안 패치 관리를 강화해야 한다. 둘째, 공급망·벤더 리스크를 재평가해 동일 플랫폼에 대한 과도한 의존을 줄이고 이중화 계획을 수립해야 한다. 셋째, 규제기관과 협력하에 위협정보 공유를 즉시 활성화하고, 침해사고 대응 모의훈련을 정기적으로 시행해야 한다. 마지막으로, 사이버위협의 진화에 대응하기 위해 내부 보안 조직의 전문성 강화와 외부 보안 업체와의 협업을 확대해야 한다.
결론적으로, 미토스는 AI가 보안 취약점 발견과 익스플로잇 제작에 미칠 수 있는 실질적 능력을 보여주는 사례로서, 금융권은 단순한 방어 체계의 보완을 넘어서 시스템 설계와 공급망의 구조적 개선이라는 장기적 과제에 직면해 있다.
