Anthropic이 4월 초 Claude Mythos Preview를 발표하며 공개한 수치들은 보안 업계에 파장을 일으켰습니다. 27년 된 OpenBSD 버그, FreeBSD 원격 코드 실행, 모든 주요 브라우저의 제로데이—그것도 완전 자율적으로. 그런데 10년 가까이 보안 탐지 로직을 작성해온 한 엔지니어는 “그 숫자가 보이는 것만큼 무섭지는 않다”고 말합니다.
보안 탐지 전문가 signalblur가 Magonia Research에 기고한 분석은 Mythos의 취약점 발견 능력이 실제로 방어자에게 얼마나 위협이 되는지를 따집니다. 핵심 주장은 간단합니다. “새로운 exploit의 수는 항상 방어자가 탐지 규칙을 작성하는 속도를 앞질러 왔다. Mythos 이전에도 그랬고, 이후에도 마찬가지다.”
출처: Why a Decade of Writing Detection Logic Makes the Mythos Exploit Numbers Less Scary – Magonia Research
참고: Claude Mythos Preview – Anthropic red team blog
exploit과 탐지는 원래 1:1이 아니다
보안 탐지의 세계에서는 “특정 exploit에 대응하는 규칙을 쓴다”는 게 일반적인 접근이 아닙니다. David Bianco의 Pyramid of Pain이라는 업계 고전은 이를 명확하게 정리합니다. 개별 exploit에 반응하는 시그니처 기반 탐지는 지속적으로 업데이트해야 하며, 공격자가 조금만 바꿔도 무력화됩니다.
그래서 숙련된 탐지 엔지니어들은 행동 기반 탐지(behavioral detection)에 집중합니다. 특정 취약점이 아니라 악성 행위가 공통적으로 보이는 패턴을 잡는 방식입니다. 대표적인 예가 Microsoft Office의 RCE 취약점입니다. Word나 Excel은 지난 20년간 1,000개가 넘는 원격 코드 실행 CVE를 기록했습니다. 그런데도 실질적인 탐지는 생각보다 단순합니다.
2022년 Microsoft가 인터넷에서 다운로드된 Office 문서의 매크로 실행을 기본 차단하자, 악성 문서를 통한 악성코드 배포 비율이 50%에서 약 13%대로 내려갔습니다. 특정 exploit을 막은 게 아니라 동작 패턴 자체를 차단한 결과입니다. 여기에 winword.exe가 powershell.exe를 자식 프로세스로 생성하는 행동, 웹에서 .ps1 파일을 내려받아 실행하는 패턴을 겹쳐서 탐지하면, 어떤 새로운 exploit이 나와도 상당 부분을 잡아낼 수 있습니다.
결국 Mythos가 수천 개의 취약점을 찾아낸다고 해서, 방어자가 그것들 각각에 대응하는 탐지 규칙을 따로 작성해야 하는 건 아닙니다.
ML 기반 탐지가 답이 아닌 이유
Mythos 발표 이후 많은 보안 팀이 ML 기반 이상 탐지(anomaly detection)로 전환을 검토하고 있습니다. signalblur는 이것이 실수라고 말합니다. 2010년에 발표된 두 편의 보안 연구—Robin Sommer와 Vern Paxson의 논문, 그리고 Stefan Axelsson의 기저율 오류(Base-Rate Fallacy) 논문—이 이미 그 이유를 설명해 두었습니다.
핵심은 오탐률(False Positive Rate)의 수학입니다. 하루 100만 건의 이벤트가 발생하는 환경에서 실제 침해는 하루 2건뿐이라고 해봅시다. 탐지율이 100%인 완벽한 탐지기라도 오탐률이 0.001이면 하루 1,000건의 오탐이 발생합니다. 실제 20개의 침해 이벤트는 1,020개의 알림 속에 묻힙니다. 분석가가 어떤 단일 알림을 잡았을 때 그게 진짜 침해일 확률은 약 2%입니다. 실제로 침해는 탐지되었지만, 분석가는 결국 일주일 안에 그 시스템을 무시하기 시작합니다.
행동 기반 탐지가 강한 이유는 여기에 있습니다. winword.exe → powershell.exe 같은 규칙은 병원 네트워크든 로펌이든, 2014년이든 2026년이든 오탐이 거의 발생하지 않습니다. 합법적인 업무에서 Word가 PowerShell을 실행할 이유가 없기 때문입니다. 환경이 바뀌어도 이 구조적 사실은 변하지 않습니다. 반면 ML 기반 이상 탐지의 “정상(normal)” 기준은 환경이 바뀔 때마다 표류하고, 재훈련을 할 때마다 오탐률이 올라갈 수 있습니다.
저자가 실제로 두려워하는 것
signalblur는 Mythos로 인한 exploit 급증보다 더 걱정되는 것이 있다고 말합니다. AI 에이전트가 만들어내는 새로운 공격 표면(attack surface)입니다.
기존 탐지 로직은 인간이 행동하는 패턴을 기반으로 설계되었습니다. 그런데 AI 에이전트는 비결정론적(non-deterministic)으로 동작하고, 정상적인 사용자의 쿠키와 권한을 활용해 작업을 수행합니다. 예를 들어, 경리팀 직원의 에이전트가 프롬프트 인젝션 공격을 받아 정상적인 브라우저 세션으로 계좌 이체를 실행한다면, 이것은 기존 탐지 방식으로는 잡아내기 어렵습니다. 에이전트가 작업을 수행하는 동안 사용자 본인조차 그 사실을 모를 수 있기 때문입니다.
이것은 exploit 수의 문제가 아닙니다. 정상 행동의 경계가 무너지는 문제입니다.
단기와 장기 사이
Mythos의 등장이 단기적으로 방어팀에 부담을 주는 것은 사실입니다. 도구는 나와 있는데 이를 방어에 어떻게 활용할지 업계가 아직 정리되지 않았기 때문입니다. exploit 개발보다 탐지 개선에 LLM을 적용하는 것이 더 복잡하고, 고품질 훈련 데이터도 부족합니다.
하지만 signalblur의 판단은 장기적으로는 균형이 회복된다는 것입니다. 탐지와 exploit의 관계는 원래부터 1:1이 아니었고, AI는 공격자만큼 방어자도 활용할 수 있는 도구입니다.
다만 그 이행 기간이 어떻게 펼쳐질지, 그리고 AI 에이전트가 만들어내는 새로운 공격 표면에 기존 탐지 방식이 어떻게 대응할 수 있을지는 아직 열린 질문입니다. Anthropic이 Mythos Preview 발표와 함께 공개한 기술 문서에는, 그 질문이 단순히 학문적인 수준이 아님을 보여주는 구체적인 사례들이 담겨 있습니다.
참고자료:
답글 남기기