시드니에서 보도된 바에 따르면, 호주 정부는 인공지능 기반 보안 도구의 공개 이후 제기된 잠재적 사이버보안 취약점 문제와 관련해 소프트웨어 공급업체들, 앤트로픽(Anthropic)을 포함한 기업들과 협력하고 있다고 홈어페어스 장관 토니 버크(Tony Burke)의 대변인이 목요일(현지시간) 밝혔다.
2026년 4월 23일, 로이터의 보도에 따르면, 앤트로픽이 공개한 Mythos라는 AI 모델의 프리뷰(preview)가 각종 운영체제와 웹브라우저에서 심각한 수준의 취약점을 다수 발견했다고 밝힌 이후 여러 국가에서 우려가 제기되었고, 이에 따라 호주 정부가 해당 업체들과 협력하는 조치를 취하고 있다고 전했다.
사안 개요
앤트로픽이 발표한 Mythos는 방어적 사이버보안(Defensive cybersecurity) 작업을 위해 설계된 인공지능 모델이다. 회사 측은 프리뷰 과정에서
“모든 주요 운영체제와 웹브라우저에서 수천 건의 주요 취약점을 발견했다”
고 밝히며, 이로 인해 전통적인 소프트웨어 보안에 대한 우려가 확산되었다.
호주 정부의 대응
토니 버크 장관실 대변인은 성명에서 구체적인 기술적 내용이나 취약점의 목록을 공개하지는 않았으나, 관련 소프트웨어 공급업체들과 협력해 상황을 평가하고 완화 방안을 모색하고 있다고 밝혔다. 해당 협력에는 취약점 확인, 패치 개발 지원, 정부 기관의 내부 시스템 점검 및 보완 조치 등이 포함될 수 있다.
용어 설명
Mythos는 앤트로픽이 개발한 AI 모델 이름이다. 이 모델은 사이버 방어 목적으로 설계되었으며, 대규모 데이터와 학습 알고리즘을 활용해 시스템 취약점을 탐지하거나 보안 테스트(예: 침투 테스트, 취약점 스캐닝 등)를 자동화하는 기능을 갖는다. 방어적 사이버보안은 시스템을 보호하고 위협을 탐지·대응하기 위한 활동을 뜻한다. 이러한 도구는 악의적 사용자가 이용할 수 있는 정보(취약점 목록, 공격 벡터 등)를 생성할 수 있어 공개 방식과 사용 통제에 따라 오히려 보안 위험을 초래할 가능성이 있다.
발견된 취약점의 성격과 의미
앤트로픽이 언급한 “수천 건의 주요 취약점”이라는 표현은 취약점의 규모와 잠재적 영향력을 강조한다. 소프트웨어 보안에서 ‘주요 취약점’은 원격 코드 실행, 권한 상승, 인증 우회 등 심각한 보안 침해로 이어질 수 있는 결함을 의미한다. 특히 “모든 주요 운영체제와 웹브라우저”라는 표현은 윈도우, macOS, 리눅스 계열의 운영체제 및 크롬, 파이어폭스, 사파리 등 주요 웹브라우저 전반에서 잠재적 문제점이 식별됐을 가능성을 시사한다.
국제적 파장 및 정책적 함의
이번 사안은 단순한 소프트웨어 결함 공개를 넘어 인공지능 도구가 보안 생태계에 미치는 영향을 재평가하게 만드는 계기다. AI 기반 도구가 광범위한 취약점을 빠르게 식별·생성할 수 있다는 점은 방어자에게는 효율성을 제공하지만, 악의적 행위자에게도 동일한 정보를 제공할 위험성이 있다. 이에 따라 각국 정부와 규제기관은 AI 모델의 공개 범위, 접근 통제, 책임 소재 등에 관한 규범과 표준을 재정비할 필요가 있다.
경제적·시장 영향 분석
보안 취약점의 대규모 노출은 클라우드 서비스 제공업체, 소프트웨어 공급업체 및 인터넷 인프라 사업자들의 운영비용 상승으로 이어질 수 있다. 기업들은 긴급 패치 개발과 배포, 침해 사고 대응, 규제 대응 비용 등을 부담해야 하며, 이는 IT 예산의 재배치 및 단기 수익성 악화로 연결될 가능성이 있다. 반면 보안 솔루션 기업과 침해대응 전문 서비스 업체들은 수요 증가로 매출 확대가 예상된다. 또한 투자자 관점에서는 소프트웨어와 플랫폼 기업의 보안관리 역량이 기업가치의 중요한 판단 요소로 부상할 수 있다.
실무적 권고와 전망
기업과 공공기관은 다음과 같은 조치를 고려해야 한다:
첫째, 공급망 전반의 보안 점검을 강화하고 우선순위 기반의 패치 적용 체계를 마련할 것.
둘째, AI 도구를 활용한 취약점 정보는 내부적으로 검증한 뒤 제한된 범위에서 활용하며 공개 시점과 방법을 신중히 결정할 것.
셋째, 보안 사고 대응 역량(침해사고 대응팀, 포렌식, 법률 대응)을 강화하고 외부 전문업체와의 협력 체계를 구축할 것.
전문가 의견과 규제적 고려
보안·AI 분야의 분석가들은 이번 사건이 AI와 사이버보안의 교차점에서 발생하는 새로운 리스크를 명확히 보여준다고 평가한다. 규제 측면에서는 AI의 투명성·책임성, 보안 취약점의 공개 절차, 기업의 공시 의무 등이 논의될 것으로 보인다. 특히 국가 안보와 관련된 시스템의 경우, 민감 정보의 유출 위험을 고려해 정부 차원의 평가 기준과 대응 지침이 마련될 가능성이 높다.
결론
호주 정부가 앤트로픽을 포함한 소프트웨어 공급업체들과 협력하는 조치는 취약점 확산을 차단하고 국가 차원의 보안 리스크를 관리하려는 의지를 보여준다. 그러나 AI가 생성하는 취약점 정보의 공개와 활용은 기술적·윤리적·정책적 고려를 필요로 하며, 앞으로 기업과 규제기관 간의 긴밀한 협의와 국제적 공조가 중요해질 전망이다.
