최근 몇 주간 IT 업계의 화두는 미국의 Anthropic이 발표한 보안 특화형 에이전트 'Claude Mythos'에 집중되고 있습니다. Mythos는 시스템에 자율적으로 취약점 스캔과 공격 시나리오 검증을 수행하여 결과를 보고서로 작성하는 AI 에이전트입니다. 이는 기존에 사람이 수행하던 보안 진단 작업을 빠르고 저렴하게 만들어줍니다.
정치 및 사회적 영향도 커지고 있으며, 팀 미라이의 안노 타카히로 씨는 블룸버그와의 인터뷰에서 "일본 정부는 Anthropic에 초기 접근을 시도해야 한다"고 말했습니다. SNS에서는 "이로 인해 침투 테스트 회사는 사라질 것이다", "화이트 해커는 일자리를 잃을 것이다"라는 의견이 퍼지고 있습니다. 그러나 "진짜 위험한 것은 다른 곳에 있다"는 반론도 제기되고 있습니다.
Mythos의 성능 자체보다는 '공격자의 비용이 감소한다'는 구조적 변화에 대한 막연한 불안이 논의의 핵심입니다. 기존의 취약점 발견에는 숙련된 인간의 시간이 필요했습니다. AI 에이전트가 24시간 스캔과 검증을 지속하면, 공격자의 경제적 합리성이 크게 변화할 것입니다.
보안 분야가 생성 AI의 최전선이 된 이유를 정리하자면, 사이버 공격과의 직접적인 연관성뿐만 아니라, AI 에이전트와 공격 측의 높은 상관성이 배경에 있습니다. 여러 CTO와 CISO들과의 대화에서도 "생성 AI가 가장 실용적으로 사용되는 분야는 보안 공격 측이다"라는 공감대가 형성되고 있습니다. 공격 측은 ROI(투자 수익률)가 계산하기 쉽고, 목표가 명확하며, 대상이 많아 AI 에이전트에 적합합니다.
코딩 지원이나 마케팅 자동화와 달리, 보안 공격은 성공 여부를 기계적으로 판별할 수 있습니다. 취약점 스캐너는 대상 스캔, 응답 관찰, 예상대로의 행동이 나타나면 성공으로 판단하는 루프를 반복합니다. 생성 AI는 이러한 루프에서 '어디를 공격할지', '어떤 입력을 줄지', '결과를 어떻게 해석할지'를 기존 시그니처 기반 스캐너보다 유연하게 다룰 수 있습니다.
AI 시대의 공격 측의 확장성은 이전과 비교할 수 없을 정도입니다. AI 에이전트는 수백 개의 회사를 병렬로 저비용으로 조사할 수 있습니다. 공격 단가가 하락하면, 중소기업이나 서드파티 툴 통합의 허브 역할을 하는 서비스, 자체 개발 업무 애플리케이션 등이 새로운 공격 대상이 될 수 있습니다.
