클라우드 마이토스가 약한 보안을 갖춘 기업 네트워크를 종단적으로 해킹할 수 있음

영국 AI 안전연구소(UK AISI)가 Anthropic의 최신 모델인 Claude Mythos Preview를 대상으로 사이버 공격 역량 평가를 실시한 결과, AI 모델이 사상 최초로 기업 네트워크를 대상으로 한 공격 시뮬레이션을 자율적으로 end-to-end 완수한 것으로 나타났다. 이는 AI가 초기 침투(initial access)부터 내부 이동(lateral movement), 권한 상승(privilege escalation), 최종 목표 달성까지의 전체 공격 체인을 사람의 개입 없이 수행할 수 있음을 의미한다. 다만 해당 테스트는 '약하게 방어된(weakly defended)' 환경을 전제로 하며, 최신 보안 패치가 적용되고 다층 방어가 구축된 실제 엔터프라이즈 환경에서의 성공 여부와는 상당한 거리가 있다는 점이 중요한 단서로 붙어 있다.

이 결과가 개발자와 엔지니어에게 주는 현실적 영향은 크게 두 가지다. 첫째, 공격의 자동화 수준이 근본적으로 달라진다는 점이다. 기존에는 숙련된 해커가 수시간에서 수일에 걸쳐 수행하던 침투 테스트를 AI가 자율적으로 수행할 수 있게 되면서, 공격 비용이 급격히 낮아지고 공격 빈도가 증가할 수 있다. 둘째, 반대로 방어 측면에서도 같은 기술을 활용한 자동화된 레드팀 테스트, 취약점 탐지, 침투 시뮬레이션이 가능해져 보안 점검의 접근성이 대폭 향상될 수 있다. 즉, AI 사이버 역량은 공격과 방어 양쪽 모두의 게임 체인저가 될 잠재력을 갖고 있다.

한국 개발자들이 당장 주목해야 할 행동 지침은 명확하다. '약하게 방어된' 환경이 바로 우리 시스템일 수 있다는 자각이 필요하다. 기본 인증 정보 미변경, 불필요한 포트 개방, 패치 미적용, 네트워크 세그멘테이션 미비 등 기초적인 보안 위생(security hygiene)이 갖춰지지 않은 환경이 AI 자율 공격의 첫 번째 타깃이 된다. 개발 단계에서부터 시큐어 코딩을 실천하고, CI/CD 파이프라인에 SAST/DAST 도구를 통합하며, 인프라 수준에서는 제로 트러스트 아키텍처 도입과 최소 권한 원칙 적용을 가속화해야 한다. 또한 AI 기반 보안 도구를 적극 도입하여 방어 자동화 수준도 함께 끌어올리는 것이 공격-방어 비대칭을 줄이는 핵심 전략이 될 것이다.