유럽중앙은행(ECB)이 고급 인공지능 모델, 특히 Anthropic의 Claude Mythos가 제기하는 사이버 보안 위협에 대해 주요 은행들과 긴급 회담을 소집했다. ECB는 공격자가 이제 30분 이내에 보안 패치를 역설계할 수 있어, 이 속도가 전통적인 패치 주기를 앞지를 수 있다고 경고했다. 이번 조치는 AI 기반 취약점이 위협 환경을 재편함에 따라 규제 당국이 그 여파를 통제하기 위해 분주히 움직이는 가운데 나왔다.
AI 모델, 방어 기준 돌파
영국 AI 안전 연구소(UK AI Security Institute)는 Claude Mythos Preview를 테스트한 결과, 이 모델이 전문가 수준의 '깃발 뺏기(Capture the Flag)' 과제의 73%를 해결했다고 밝혔다. 이는 2025년 4월 이전까지 어떤 AI 모델도 달성하지 못한 이정표다. 깃발 뺏기 연습은 실제 사이버 공격을 시뮬레이션하며 깊은 기술적 추론을 요구한다. 연구소의 결과는 최첨단 AI 시스템이 이제 인간 보안팀이 완화할 수 있는 속도보다 빠르게 취약점을 식별하고 악용할 수 있음을 시사한다.
모질라의 패치 대응
모질라는 Claude Mythos가 발견한 취약점을 기반으로 Firefox 150에서 271개의 보안 패치를 발행해야 했다. 이 숫자는 이전 모델인 Opus 4.6에서 생성된 패치 수를 훨씬 웃돌며, AI가 널리 사용되는 소프트웨어에서 얼마나 빠르게 결함을 찾을 수 있는지 보여준다. 이 사례는 개발자들이 공격자가 취약점을 무기화하기 전에 버그를 수정해야 하는 압박을 강조한다.
ECB의 시급성: '안단테에서 프레스토로'
ECB 부의장 프랭크 엘더슨(Frank Elderson)은 AI가 위협을 가속화하고 있기 때문에 은행들이 패치 배포 속도를 '안단테(andante)'에서 '프레스토(presto)' 템포로 높여야 한다고 말했다. ECB는 111개의 주요 유로존 은행을 감독하며, 이들 중 대부분은 은행 주도 이니셔티브인 프로젝트 글래스윙(Project Glasswing)을 통해 Claude Mythos와 같은 최첨단 AI 모델에 직접 접근할 수 없다. 이러한 격차는 많은 기관이 적이 사용할 수 있는 도구 자체를 인지하지 못하게 만든다.
엘더슨의 경고는 간단한 문제를 지적한다. 방어자가 최신 AI에 대해 테스트할 수 없다면, 그 AI가 가능하게 하는 공격을 예측할 수 없다는 것이다. ECB는 준수 기한을 명시하지 않았지만, 메시지는 분명하다. 느린 패치 주기는 더 이상 용납될 수 없다는 것이다.
최첨단 AI에 대한 불평등한 접근
프로젝트 글래스윙은 은행들이 고급 AI 모델에 접근할 수 있도록 설계되었지만, 참여는 제한적이다. ECB 감독 대상 은행의 대다수는 여전히 접근이 차단되어 있다. 이러한 비대칭성은 위험한 역학을 만든다. 공격자는 방어자가 모델링조차 해보지 않은 취약점을 악용할 수 있다. ECB는 더 넓은 접근을 촉구하고 있지만, 일정은 발표되지 않았다.
즉각적인 질문은 ECB 감독 하에 있는 111개 은행이 따라잡는 데 필요한 도구를 얻을 것인지, 아니면 공격과 방어 간의 격차가 계속 확대될 것인지이다.
