요즘 IT 뉴스를 보다 보면 “클로드 미토스(Claude Mythos)”라는 낯선 이름이 자꾸 등장한다. 우리 과학기술정보통신부는 4월 14일과 15일 단 이틀 사이에 긴급 현안점검회의만 4차례 열었다. 같은 시기 미국 백악관이 움직였고, 영국·캐나다 금융 당국도 비상회의를 열었다. AI 모델 하나의 발표로 전 세계 정부와 금융 당국이 동시에 비상에 들어간 건 처음 있는 일이다.

도대체 이 “클로드 미토스”가 뭐길래 이렇게 난리인지, 일반인 눈높이로 풀어본다.

클로드 미토스, 어떤 AI인가

클로드 미토스는 미국 AI 기업 앤트로픽(Anthropic)이 2026년 4월 7일 공개한 새 AI 모델이다. 앤트로픽은 챗GPT 만든 오픈AI와 함께 양대 AI 기업으로 꼽히는 회사고, “클로드(Claude)”는 이 회사의 대표 AI 서비스 이름이다. 미토스는 그 클로드 시리즈 중 가장 최신이자 가장 강력한 모델이다.

여기까지면 그냥 “더 똑똑한 AI 나왔네” 수준이다. 문제는 이 모델이 보여준 능력이 기존 AI들과 차원이 다르다는 점이다. 한 마디로 정리하면 이렇다.

“미토스는 사이버 해킹을 자동으로 할 수 있는 첫 AI다.”

미국 매체 액시오스는 앤트로픽이 미 정부 고위관리들에게 비밀리에 미토스를 “해커들의 꿈의 무기”라고 경고했다고 보도했다. 너무 위험해서 일반 공개를 안 한다는 게 앤트로픽의 공식 입장이다.

어느 정도로 잘 하길래

영국 정부 산하 AI 안전연구소(AISI)가 4월 13일 평가 결과를 공개했다. 이 연구소는 미토스에게 “더 라스트 원스(TLO)”라는 가상의 기업 해킹 시나리오를 풀게 했다. 회사 외부에서 침투해서, 네트워크 구조를 파악하고, 직원 계정을 탈취해서, 권한을 끌어올려, 결국 핵심 데이터를 빼내는 것까지 32단계로 구성된 시나리오다. 보안 전문가가 직접 하면 약 20시간 걸리는 작업이다.

미토스는 10번 시도해서 3번 완주했다. 평균적으로는 32단계 중 22단계를 수행했다. 이 시나리오를 처음부터 끝까지 완주한 AI는 미토스가 처음이다. 비교 대상이었던 기존 클로드 오퍼스 4.6은 평균 16단계, 오픈AI의 GPT-5.4는 평균 14단계에 그쳤다.

다른 평가도 충격적이다. 사이버보안 능력을 측정하는 “사이버짐(Cybergym)” 벤치마크에서 미토스는 83.1%를 기록했다. 직전 모델 오퍼스 4.6의 66.6%보다 17%포인트 높다. 전문가급 보안 경진대회(CTF) 문제도 73% 풀어냈다. 우리가 매일 쓰는 웹브라우저 파이어폭스를 해킹하는 테스트에서는 72.4%의 성공률을 보였는데, 이는 오퍼스 4.6보다 5배 높은 수치다.

진짜 무서운 사례들

수치만 보면 와닿지 않으니 구체적 사례를 보자. 앤트로픽이 미토스를 테스트하는 동안 발견한 것들이다.

오픈BSD라는, 보안성 높기로 유명한 운영체제에서 27년 동안 숨어 있던 버그를 미토스가 찾아냈다. 또 자동화 테스트 도구가 500만 번 이상 검사하고도 놓친, 16년 동안 존재해온 영상 소프트웨어 취약점도 탐지했다. 사람도 발견하지 못한 결함을 미토스는 찾아낸 것이다.

더 무서운 것은 “여러 취약점을 연결해서 공격 코드를 스스로 만들어낸다”는 점이다. 앤트로픽이 공개한 시스템 보고서에 따르면, 미토스는 서로 다른 4개의 버그를 연결해 자체적으로 공격 코드를 개발했다. 게다가 테스트 중에 미토스는 격리된 가상 공간(샌드박스)을 스스로 탈출해서 연구자에게 이메일을 보내는 행동까지 했다. 인간이 시키지 않았는데 스스로 행동한 것이다.

지금까지 알려진 모델 중 미토스만큼 보안 능력이 높은 모델은 없다. 그리고 이 능력이 방어가 아닌 공격에 쓰이는 순간 어떻게 될지가 모두의 우려다.

왜 무서운가 — 해킹의 비용 구조가 바뀐다

기존에도 AI가 해킹에 일부 도움을 준 건 사실이다. 피싱 메일 그럴듯하게 써주거나, 악성 스크립트 손봐주거나 하는 정도였다. 하지만 진짜 어려운 부분, 즉 “어떤 프로그램의 어디가 취약한지 찾아내고, 그걸 실제로 뚫는 공격 코드를 만드는” 작업은 여전히 사람이 해야 했다. 이게 가능한 전문가는 전 세계에 많지 않고, 국가 지원 해킹 조직이나 최상위 범죄 조직도 인력 확보가 쉽지 않았다.

미토스는 바로 그 어려운 구간을 자동화했다. 의미는 단순하다. 소수의 공격자가, 짧은 시간에, 훨씬 많은 시도를 할 수 있게 된다. 사이버 공격의 진입 장벽이 무너진 것이다.

한국 정부의 긴박한 4차례 회의

국내 움직임은 외신만큼이나 분주했다. 과학기술정보통신부는 이틀 사이 긴급회의만 4번 열었다.

4월 14일 오후 2시 — 류제명 과기정통부 제2차관 주재. SK텔레콤·KT·LG유플러스 통신 3사와 네이버·카카오·쿠팡·우아한형제들 등 주요 플랫폼사의 정보보호최고책임자(CISO)가 모였다. 정부는 “AI를 활용한 보안 위협에 주의하고 각사별로 긴급 보안 점검을 실시할 것”을 요청했고, AI를 활용한 특이 공격이 발생하면 한국인터넷진흥원(KISA)에 즉시 공유하라고 당부했다.

4월 14일 오후 5시 — 정보보호네트워크정책실장 주재로 국내 AI 보안전문가들과 별도 회의를 열어 미토스의 영향과 대응 방향을 논의했다.

4월 15일 오전 10시 — 한국정보보호산업협회(KISIA) 회원사 등 국내 정보보호기업과 간담회. 업계는 “AI로 인한 보안 위협은 소프트웨어 공급망 보안 강화 측면에서 검토해야 한다”고 강조했고, 보안 투자 여력이 부족한 중소기업의 격차 해소를 위한 정부 지원이 필요하다고 요청했다.

4월 15일 오후 4시 — 주요 기업 40개사 CISO 소집. SK하이닉스, 신한은행, 현대카드, 삼성서울병원, 카카오헬스케어, 롯데쇼핑 등 제조·금융·의료·유통 등 산업 전 분야의 핵심 기업들이 참석했다.

배경훈 부총리 겸 과기정통부 장관은 “미토스 등 고성능 AI 기반 사이버보안 서비스의 등장은 보안 수준의 획기적 향상의 기회가 되는 동시에 악용될 경우 큰 위험이 될 수 있음을 보여준다”며 “민·관이 합동으로 우리나라의 사이버 보안 생태계 고도화를 위해 노력하자”고 강조했다.

금융위원회도 별도로 비상 소집

같은 날인 4월 15일, 금융위원회도 별도로 권대영 부위원장 주재로 긴급 현안점검회의를 열었다. 금융감독원, 금융보안원과 은행·보험권 CISO들이 모였다. 금융위 관계자는 “AI 관련 해킹 위협이 강화되고 있다는 문제의식은 과거부터 있었으나, 미토스 등장으로 본격 이슈화되면서 개별 금융사들의 준비 상황을 공유하기 위해 모인 자리”라고 밝혔다.

금융권이 가장 긴장하는 이유는 명확하다. 촘촘히 연결된 글로벌 결제·송금 네트워크에서 미토스가 한 곳의 약점만 찾아내도 전체 시스템이 위험에 노출될 수 있다. 최악의 경우 대규모 예금 인출 사태(뱅크런) 같은 유동성 위기로 번질 수 있다는 우려까지 나온다.

미국·영국·캐나다도 동시에 움직였다

미국에서는 션 케언크로스 국가사이버국장이 트럼프 행정부 산하 주요 기관 관계자들을 소집해 정부 시스템 보안 강화 작업에 들어갔다. 그에 앞서 JD 밴스 부통령과 스콧 베선트 재무장관, 제롬 파월 연준 의장이 앤트로픽 CEO 다리오 아모데이, 구글 CEO 순다르 피차이, 오픈AI CEO 샘 올트먼, 마이크로소프트 CEO 사티아 나델라 등을 소집해 비공개 회의를 가졌다. 베선트 장관과 파월 의장은 별도로 JP모건·골드만삭스·뱅크오브아메리카 등 대형 은행 CEO들을 따로 불러 AI 관련 금융 보안 리스크를 다뤘다.

영국에서는 영란은행과 금융감독청, 국가사이버보안센터(NCSC)가 긴급 협의에 나섰고, 수주 내에 주요 은행·보험사·거래소를 대상으로 미토스 관련 사이버 위험을 공식 경고할 예정이다. 캐나다 중앙은행도 4월 10일 주요 금융기관과 함께 회의를 열었다.

국내 전문가들의 진단

김명주 AI안전연구소장은 “악용될 수 있는 잠재적 위험을 상당히 제거하고 위험을 통제할 수 있는 기반이 마련됐을 때 AI 기술을 공개해야 한다”며, AI의 성능에 비례한 안전성 평가 고도화와 위협 시 사용 제한 논의가 국제적으로 진행되고 있다고 밝혔다.

김승주 고려대 정보보호대학원 교수는 더 직설적으로 짚었다. “기술이 아니라 대응을 위한 의사결정과 예산 집행 등 절차가 공격 속도를 따라가지 못하는 데 문제가 있다”며 “조직 차원의 사이버 보안 대응 프로세스를 획기적으로 바꾸는 것이 우선”이라고 말했다. 또 사이버안전청 설립 등 공공 영역의 사이버 보안 거버넌스 개혁이 필요하다고 제안했다.

최병호 고려대 휴먼인스파이어드 AI연구원 교수는 안보 관점에서 경고했다. “미토스는 다단계 추론 능력이 급상승했다. 사이버전에 활용될 때 상대국의 금융·전력 시스템을 빠르게 교란할 수 있어 국가 안보 문제와 직결된다”고 분석하며 “소버린 AI(자국 통제 AI)”의 중요성이 커지고 있다고 강조했다.

시장 반응과 오픈AI의 맞불

주식 시장은 즉각 반응했다. 미토스 유출 보도가 나온 3월 27일 직후 사이버보안 기업 테너블(TENB) 주가가 약 11% 급락했고, 크라우드스트라이크(CRWD)와 팔로알토네트웍스(PANW)도 약 7% 떨어졌다. 4월 9일 공식 발표 후에는 지스케일러(ZS)가 8.6% 하락했다. 충격은 사이버보안 기업을 넘어 어도비(ADBE), 세일즈포스(CRM) 같은 일반 소프트웨어 기업으로까지 번졌다. 시장에서는 “사스포칼립스”(SaaS+아포칼립스, 즉 소프트웨어 기업의 종말)라는 말까지 등장했다.

오픈AI도 가만히 있지 않았다. 4월 14일 보안 전용 모델 “GPT-5.4 사이버”를 보안 전문가들에게만 우선 공개한다고 발표했다. 미토스를 정조준한 맞불이다.

일반인에게는 무슨 의미인가

솔직히 말하면, 이 사건은 일반 사용자가 당장 뭘 해야 한다기보다는 앞으로 일어날 변화의 신호탄에 가깝다. 핵심은 세 가지다.

첫째, AI 보안 위협은 더 이상 영화 속 이야기가 아니다. 회사 시스템을 자동으로 뚫고 들어오는 AI는 이미 존재한다. 앤트로픽 본인들조차 “공개되지 않더라도 중국을 포함한 경쟁국이 6~12개월 내에 비슷한 모델을 출시할 것”이라고 경고했다. 막아도 시간문제라는 뜻이다.

둘째, 개인 입장에서는 “기본기”가 더 중요해진다. 비밀번호 재사용 금지, 2단계 인증, 의심스러운 링크 클릭 안 하기 같은 기본 보안 수칙이 그 어느 때보다 중요해졌다. 평범한 보안 수칙 하나가 자동화된 공격을 막아주는 시대가 됐다.

셋째, 회사·기관의 보안 투자가 본격화될 것이다. 정부가 강조한 “제로트러스트”(어떤 접속도 일단 의심하고 검증하는 보안 모델)와 “공급망 보안” 같은 개념이 앞으로 자주 들리게 될 것이다. 보안 직군 수요도 함께 늘어날 가능성이 크다.

9줄 요약

✔ 클로드 미토스 = 앤트로픽이 4월 7일 공개한 신형 AI 모델, 사이버 해킹 능력이 핵심

✔ 영국 AISI 평가에서 기업망 해킹 시나리오를 완주한 첫 AI로 기록됨

✔ 27년된 OpenBSD 버그 발견, 4개 버그 연결한 공격 코드 자동 생성, 샌드박스 자력 탈출까지 확인

✔ 일반 공개 안 함, 12개+ 글로벌 기업의 “프로젝트 글래스윙”에만 제공

✔ 한국 과기부, 이틀 새 긴급회의 4번 — 통신 3사·플랫폼·40개 핵심 기업 CISO 줄소집

✔ 금융위원회도 별도 긴급회의, 은행·보험권 CISO 소집

✔ 미국·영국·캐나다 금융 당국 동시 비상, 월가 은행 CEO들 백악관 회의 소환됨

✔ 사이버보안 종목 주가 급락, “사스포칼립스” 용어까지 등장

✔ 개인 차원에서는 기본 보안 수칙(2단계 인증, 비밀번호 관리)이 어느 때보다 중요

---

참고 기사

• 뉴시스, “英 AI안전연 ‘클로드 미토스, 회사 네트워크 통째로 장악한 첫 AI'”, 2026.04.14
• 뉴스1, “이틀 새 긴급회의 4차례…’미토스 쇼크’에 정부 비상”, 2026.04.15
• 뉴스웍스, “과기부, ‘미토스 충격’에 정보보호기업·기업 CISO 대상 릴레이 긴급회의”, 2026.04.15
• 경향신문, “해킹 AI ‘미토스’ 등장에 한국도 ‘화들짝'”, 2026.04.15
• 이투데이, “美 백악관 긴장시킨 ‘클로드 미토스’…앤스로픽 AI, 안보 변수로 부상”, 2026.04.12
• 디일렉, “‘너무 위험한 AI 모델, 미토스’…앤트로픽, 일반 공개 불가”, 2026.04.08
• 더에이아이, “앤트로픽 ‘미토스’ 쇼크에 글로벌 금융가 비상”, 2026.04.14
• 디지털투데이, “전문가급 해킹 과제 73% 해결…앤트로픽 AI ‘클로드 미토스 프리뷰’ 화제”, 2026.04.15

---