‘미토스’ 써본 클라우드플레어...“취약점 연계 능력 탁월하나 오탐·일관성은 숙제” 작성일 05-20 27 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="FSm4ePqFT5"> <figure class="figure_frm origin_fig" contents-hash="80fe9194f5ee2ef660e00987c87b7e16fb3fd565e25a4d4f9fa30efbc8f72ca2" dmcf-pid="3d6YFXCESZ" dmcf-ptype="figure"> <p class="link_figure"><img alt="클라우드플레어가 앤트로픽의 미토스 프리뷰(Mythos Preview)를 적용해 테스트한 내용을 담은 보고서를 20일 공개했다. 이와 관련해 앤스로픽은 당초 미토스 프리뷰 사용자들이 사이버 위험 정보가 공유되지 않도록 하는 기밀 유지 계약에 서명했으나, 지난주부터 다른 기관들과 위협이 되는 정보를 공유할 수 있도록 방식을 변경했다. <사진=AP>" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/20/mk/20260520155702455ciog.jpg" data-org-width="700" dmcf-mid="qB2SXyrNCx" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/20/mk/20260520155702455ciog.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 클라우드플레어가 앤트로픽의 미토스 프리뷰(Mythos Preview)를 적용해 테스트한 내용을 담은 보고서를 20일 공개했다. 이와 관련해 앤스로픽은 당초 미토스 프리뷰 사용자들이 사이버 위험 정보가 공유되지 않도록 하는 기밀 유지 계약에 서명했으나, 지난주부터 다른 기관들과 위협이 되는 정보를 공유할 수 있도록 방식을 변경했다. <사진=AP> </figcaption> </figure> <div contents-hash="68171d4c8bf8f5584ae2ac011ab395055e5cef6d66eabc2d89858ab6b166cbb2" dmcf-pid="0JPG3ZhDWX" dmcf-ptype="general"> 아직 출시되지 않은 앤스로픽의 차세대 보안 특화 인공지능(AI) 모델 ‘클로드 미토스 프리뷰’를 실전 환경에 적용한 분석 보고서가 공개됐다. </div> <p contents-hash="f69d3735ac6687c36b8d4252db4fa6a7040345a5aa1febe8b98fe5606c5bbffe" dmcf-pid="piQH05lwlH" dmcf-ptype="general">클라우드 보안·인프라 서비스 기업 클라우드플레어는 앤스로픽이 전 세계 약 50개 대기업과 주요 기관을 대상으로 진행 중인 비공개 보안 연구협력 프로그램 ‘프로젝트 글래스윙’에 참여해 얻은 정밀 검증 결과를 20일 발표했다.</p> <p contents-hash="59bf64a51f6956d1f5a8b911a16be3524924749f9da9fdb0e3144bfc51670da0" dmcf-pid="UnxXp1SrvG" dmcf-ptype="general">미토스는 출시 전부터 기존 생성형 AI 한계를 뛰어넘는 고도화된 소스코드 분석 능력을 선보이며, 보안 및 해킹 패러다임을 바꿀 게임 체인저로 업계의 전례 없는 주목을 받아온 모델이다. 다만 복잡한 취약점을 스스로 찾아내 정교한 공격 시나리오까지 설계할 수 있는 만큼 악의적인 사이버 범죄나 해킹에 악용될 경우 치명적인 사회적 위협이 될 수 있다는 우려가 쏟아졌다. 이에 앤스로픽은 시장 전면 공개 대신 클라우드플레어를 비롯한 신뢰할 수 있는 소수의 폐쇄적인 파트너십 기관에만 한정해 접근 권한을 부여하고 검증을 진행해 왔다.</p> <p contents-hash="7b3fc03dc6441c1266cfe9fe31a73ea765ba427273a9083be71d9847cd878d45" dmcf-pid="uLMZUtvmWY" dmcf-ptype="general">클라우드플레어는 자사의 자체 소스코드 리포지토리 50여 개에 미토스 프리뷰를 직접 적용해 해당 모델의 취약점 탐지 방식과 실무 적용 시 효율성을 비롯해 아키텍처 측면의 한계를 집중적으로 점검했다.</p> <p contents-hash="fa4df96de460466a9702a648da78487a0d2c6b4c23cb688d1b3fec044cf721d1" dmcf-pid="7oR5uFTsyW" dmcf-ptype="general">클라우드플레어 이번 실전 테스트에서 미토스 프리뷰가 보여준 가장 큰 차별점으로 ‘취약점 연계 분석 능력’을 꼽았다.</p> <p contents-hash="57542093f77bdbac402f9c1257323603f820734f60c70302b9e1c30ab6156bb3" dmcf-pid="zge173yOyy" dmcf-ptype="general">기존에 활용되던 거대언어모델(LLM) 기반의 AI 도구들은 개별적인 코드 버그나 단편적인 보안 이슈를 찾아내는 수준에 그치는 경우가 많았다. 반면 미토스 프리뷰는 표면적으로는 시스템에 큰 위협이 되지 않는 여러 개의 ‘저위험’ 취약점들을 스스로 조합하고 연결해 이것이 어떻게 심각한 수준의 실제 해킹 공격 경로로 발전할 수 있는지 증명해 내는 탁월한 성능을 보였다. 이는 시장 우려대로 단일 보안 결함 탐지 수준에서 벗어나 실제 공격자 관점에서 정교한 시나리오를 구성할 수 있음을 보여준 대목이다.</p> <figure class="figure_frm origin_fig" contents-hash="589ecca09c406952fb309f7a6bd64ae4abbb833c9b0d9f214c0d27b8d73cea73" dmcf-pid="qadtz0WIlT" dmcf-ptype="figure"> <p class="link_figure"><img alt="미토스 프리뷰에서 작동하는 개념 증명을 구축하는 것을 거부하는 예. <출처=클라우드플레어>" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/20/mk/20260520155703749rdsj.png" data-org-width="700" dmcf-mid="tb9lHTwal1" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/20/mk/20260520155703749rdsj.png" width="658"></p> <figcaption class="txt_caption default_figure"> 미토스 프리뷰에서 작동하는 개념 증명을 구축하는 것을 거부하는 예. <출처=클라우드플레어> </figcaption> </figure> <div contents-hash="df0f5581c3926d0e6e7bf6885352d295dfb86cef772908cc04cec9512ecc8dc4" dmcf-pid="BNJFqpYChv" dmcf-ptype="general"> 다만 클라우드플레어는 대규모 실무 환경에 바로 도입하기에는 해결해야 할 숙제가 명확히 드러났다고 언급했다. 우선 AI 모델의 ‘안전 거부’ 메커니즘이 신뢰하기 어려울 정도로 일관성이 부족하다는 지적이다. </div> <p contents-hash="336b54982ae5fc980de0294bb3546346aac55ce027c3e040bbdf61cf7bedeab9" dmcf-pid="bji3BUGhWS" dmcf-ptype="general">클라우드플레어는 “테스트 과정에서 미토스 프리뷰는 보안 정책을 이유로 일부 취약점 연구 요청을 거부했으나, 분석 대상 코드 자체는 전혀 수정하지 않은 채 숨겨진 ‘.git’ 폴더만 삭제하고, 다시 요청하자 거부 반응을 풀고 취약점 분석을 그대로 수행했다”고 설명했다. 명확한 외부 기준 없이 파일 구조 같은 맥락적 변화만으로 보안 안전장치가 쉽게 우회될 수 있다는 의미다.</p> <p contents-hash="fcb9648f142a15f1b6f3911d23b59d4d886dc5613c9d7765323ea84d578b8ea8" dmcf-pid="KnxXp1SrTl" dmcf-ptype="general">또한 실제 보안 담당자들이 실무에 투입하기에는 과도한 ‘오탐’ 비율이 걸림돌로 작용했다. 특히 메모리 안전성이 보장되지 않는 C 및 C++ 언어 기반의 소스코드 환경에서는 추정성 경고를 지나치게 많이 쏟아내는 경향이 확인됐다. 이로 인해 실제 위험한 취약점과 단순 오탐을 구별하기 위해 보안 전문가가 일일이 개입해 수동으로 검토해야 하는 번거로움이 발생했다. 결과적으로 미토스 프리뷰가 잠재적 위험을 과도하게 탐지하면서 초기 탐색 단계에서는 유용할지 몰라도, 실무자들의 업무 부담을 오히려 키울 수 있다는 평가다.</p> <p contents-hash="8b30b711c4151ce28c2e6ff4c2e1c25548da834eab92ace4a9cd0605a8ff2d2d" dmcf-pid="9LMZUtvmvh" dmcf-ptype="general">클라우드플레어는 이번 보고서를 통해 미토스 프리뷰가 가진 놀라운 보안 분석 잠재력을 인정하면서도, 이를 기업 단위의 대규모 데브옵스(개발·운영 공조) 파이프라인에 안정적으로 정착시키기 위해선 AI 모델을 둘러싼 주변 아키텍처와 인간의 검증 프로세스를 고도화하는 작업이 반드시 선행돼야 한다고 제언했다.</p> <p contents-hash="0a1e22cf5737fec4d5466bd0848739c8d630ed425c9ea86b751ba3bb9f0f4882" dmcf-pid="2oR5uFTsvC" dmcf-ptype="general">한편 앤스로픽은 최근 미토스 프리뷰 접근 권한을 가진 프로젝트 글래스윙 참여자들이 보안상 유사한 취약점에 직면할 수 있는 다른 사용자들과 사이버 보안 위협을 공유할 수 있도록 허용하기 시작했다.</p> <p contents-hash="b5f4a2afa5939bac459d361703eb454fa4c81a8b2fa8edb33d61fc73e4f0c0f7" dmcf-pid="Vge173yOyI" dmcf-ptype="general">지난 18일(현지시간) 월스트리트저널(WSJ)에 따르면 앤스로픽은 당초 미토스 프리뷰 사용자들이 사이버 위험 정보가 공유되지 않도록 하는 기밀 유지 계약에 서명했으나, 지난주부터 다른 기관들과 위협이 되는 정보를 공유할 수 있도록 방식을 변경했다. 이는 프로젝트 글래스윙 체계에 속하지 않은 외부에서도 최대한의 방어 효과를 거둘 수 있기 위한 취지에서다.</p> <p contents-hash="66067136c68db0ecce63db46ef0fab6bf5a914792b5aec1a80aed544e3203121" dmcf-pid="fadtz0WIyO" dmcf-ptype="general">다만 일각에선 보안 정보가 과도하게 공유 확대될 경우 악의적인 사람들 손에 넘어가 결국 사이버 공격으로 이어질 수 있다는 우려가 나오고 있어 최근 앤스로픽은 이와 관련된 미토스 무단 접근 조사를 진행 중이다.</p> </section> </div> <p class="" data-translation="true">Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지</p> 관련자료 이전 ‘대군부인’ 사과한 변우석 ‘홍콩 코믹콘’ 참석…‘나혼렙’ 비화 밝힌다 05-20 다음 [C스토리] 장병규·이재웅 '지구 동맹'…1500억 자율주행으로 05-20 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
