4월 21일과 4월 23일. 이틀 사이에 두 가지 일이 일어났다. 하나는 OpenAI가 ChatGPT Images 2.0을 풀어버린 것. 다른 하나는 Anthropic의 10월 IPO 타깃 보도가 본격화된 것. 두 사건은 표면상 무관해 보이지만, IPO 시점을 두고 두 회사가 어떤 게임을 하고 있는지 들여다보면 같은 주에 일어난 게 우연이 아닌 것으로 보인다.

앞선 글에서 Anthropic IPO 레이스의 그늘을 다뤘는데, 그 사이 한 주가 더 흘렀고 그림이 더 또렷해졌다.

1,260조 원 vs 560조 원 — 격차의 정체

OpenAI는 2026년 2월 122억 달러(원화 환산 약 18조 원) 규모 펀딩을 마무리하며 신주 발행 후 기업가치 8,520억 달러(원화 환산 약 1,260조 원) 평가에 도달했다. 시장이 거론하는 IPO 목표 평가는 1조 달러(원화 환산 약 1,480조 원)에서 1조 2,000억 달러(원화 환산 약 1,780조 원) 사이다. 영국 파이낸셜타임스는 4월 중순 기사에서 한 투자자의 말을 인용해 “OpenAI 최근 라운드를 정당화하려면 IPO 평가가 1조 2,000억 달러(원화 환산 약 1,780조 원) 이상이어야 한다”고 보도했다. 

같은 시기 Anthropic은 300억 달러(원화 환산 약 44조 원)를 모으며 3,800억 달러(원화 환산 약 560조 원) 평가를 받았다. 10월 IPO에서 600억 달러(원화 환산 약 89조 원) 조달이 목표라고 하니, IPO 시점 평가는 4,000억 달러(원화 환산 약 590조 원)에서 5,000억 달러(원화 환산 약 740조 원) 수준으로 보인다.

같은 IPO 레이스인데 시장이 매기는 가격이 두 배 넘게 차이가 난다. 단순 비교하면 1,260조 원짜리 회사와 560조 원짜리 회사가 같은 시점 상장을 노리는 셈이다. 이 격차가 어디서 오는지가 두 회사의 4월 행보를 이해하는 열쇠인 것 같다.

한쪽은 봉인하고, 한쪽은 풀어버렸다

Anthropic은 지난 두 주 동안 미토스 출시를 연기했고, 미국 국방부의 군사 활용 요청을 거부했고, 폐쇄형 그룹 Project Glasswing을 통해 미토스를 좁게만 풀었다. Microsoft, Nvidia, Amazon, CrowdStrike, Broadcom 같은 기업만 골라서 접근권을 줬다.

같은 시기 OpenAI는 ChatGPT Images 2.0을 즉시 모든 사용자에게 풀어버렸다. 출시 12시간 만에 Image Arena 모든 카테고리에서 1위를 차지했고, 격차는 +242 포인트로 이 리더보드 역대 최대 격차였다. GenEval 벤치마크 89.4%. 출시 다음 날부터 무료 사용자까지 포함한 모든 ChatGPT·Codex 사용자가 사용할 수 있게 됐다.

같은 주, 한쪽은 강력한 모델을 봉인했고 다른 쪽은 강력한 모델을 풀어버린 셈이다. IPO를 앞두고 시장에 던지는 메시지가 정반대다.

두 메시지가 향하는 청중이 다르다

Anthropic의 메시지는 기관 투자자, 특히 컴플라이언스를 중시하는 연기금과 국부펀드를 향한 것으로 보인다. “프런티어 리스크를 관리할 수 있는 유일한 책임감 있는 리더”라는 포지셔닝이다. Euronews는 4월 18일 기사에서 이 전략이 대형 기관 투자자에게 매우 매력적인 요소로 작용하고 있다고 짚었다.

OpenAI의 메시지는 컨슈머와 개발자, 그리고 컨슈머 매출에 베팅하는 투자자를 향한다. 자체 발표 기준 ChatGPT 주간 사용자 9억명, Codex 주간 200만 사용자, API 분당 150억 토큰 처리. 월 매출 20억 달러(원화 환산 약 3조 원), 2030년 매출 목표는 2,800억 달러(원화 환산 약 414조 원).

평가 격차는 단순한 매출 차이라기보다는 “어떤 수익성을 어느 시점에 약속할 수 있는가”의 차이로 보인다. 컨슈머 가속은 단기 매출이 보이고, 안전 우선은 장기 신뢰가 보인다. 어느 쪽이 IPO에서 더 강한 카드일지는 10월 시점 시장 분위기가 결정할 문제다.

Images 2.0이 한국 시장에 던진 변수

이번 Images 2.0이 한국에서 따로 주목받을 만한 이유가 있다. 한국어 텍스트 렌더링이 처음으로 실용 수준에 올라온 모델이라는 점이다.

이미지에 들어가는 한국어가 “엔추이타”나 “처리로스” 같은 외계어가 아니라 정확히 박혀 나온다는 건, 한국 마케팅·디자인·콘텐츠 시장에서 즉시 활용 가능한 도구가 됐다는 뜻이다. 일본어, 중국어, 인도어까지 같은 수준으로 처리된다고 하니 비라틴 문자권 전체에 임팩트가 큰 변수가 됐다.

같은 시기 Anthropic이 4월 20일 공개한 Claude Design은 컨슈머 영역에서 같은 게임에 들어가려고 한 시도였는데, 직접 써본 인상으로는 이미지 처리 영역에서 격차가 적지 않았다. Images 2.0이 풀린 지금 그 격차가 더 벌어진 것 같다.

 10월에 시장이 비교하게 될 것

TechCrunch는 4월 14일 기사에서 Anthropic의 부상이 OpenAI 투자자들에게 재평가를 일으키고 있다고 썼다. 같은 기사에서 한 투자자가 “Anthropic의 3,800억 달러(원화 환산 약 560조 원) 평가는 OpenAI 대비 상대적으로 싼 편”이라고 한 인용이 회자된다.

10월에 두 회사가 비슷한 시점에 상장하면 시장은 두 가지 모델을 동시에 비교하게 될 것이다. 안전 우선의 Anthropic이 보여줄 미토스 봉인의 가치와, 가속 우선의 OpenAI가 보여줄 Images 2.0 같은 출시 페이스 — 그때 이 4월 마지막 주의 대비가 다시 떠오를 것 같다.

ChatGPT Images 2.0 자체에 대해서는 별도 글에서 한국어 렌더링 실전 테스트, Claude Design 및 나노바나나와의 비교, Codex 통합이 한국 개발자 워크플로에 미치는 영향을 다뤄볼 생각이다.

게시물 OpenAI는 새 모델을 풀고, Anthropic은 미토스를 봉인했다 — IPO 한 달 전 갈린 두 카드이 Value Chain of Life에 처음 등장했습니다.

공격 속도가 바뀌었고, 글로벌 시장의 대응 속도가 바뀌었다.

그러나 방어 제도의 속도는 여전히 예전 그대로다.

속도가 맞지 않는 전쟁터에서 제일 먼저 무너지는 곳은 언제나 가장 느린 쪽이다. IT 업계에서 20여년을 보낸 입장에서, 이 속도 격차가 미토스 쇼크의 가장 무서운 대목이다.

공격은 시간 단위가 됐고, 시장은 며칠 단위로 반응했다

먼저 기술의 발전 속도. 이전 글에서 미토스가 오픈BSD의 27년 묵은 보안 버그를 찾아냈다는 얘기를 했는데, 그걸 해낸 비용이 약 2만 달러, 시간은 이틀이었다. 화이트해커 팀 하나를 꾸려 몇 개월에 걸쳐 해도 될까 말까 한 일을, AI 한 개가 이틀 만에 해냈다는 뜻이다.

이게 의미하는 건 취약점 발견에서 무기화로 넘어가는 시간의 단위 자체가 바뀌었다는 것이다. 몇 년 걸리던 주기가 이제 하루 이틀로 압축된다. 미국의 비영리 사이버 보안 단체 클라우드 시큐리티 얼라이언스(CSA)는 미토스 대응 보고서에서 이렇게 썼다.

“기존 해킹 사고 탐지·대응 체계는 인간의 대응 속도를 전제로 설계돼 있어 AI 기반 공격자에게 비대칭적 속도 우위를 허용하고 있다.”

현장에서의 체감적인 느낌으로 봐도 정확한 지적이다. 그리고 시장은 이 속도 변화를 며칠 만에 반영했다. 오픈AI는 미토스 발표 일주일 뒤인 4월 14일 “GPT-5.4 사이버”를 내놨다. 취약점 분석, 악성코드 탐지, 침해 대응 같은 방어 영역에 특화시킨 모델이다. 앤트로픽의 미토스가 “위험하지만 우리가 통제한다”로 포지션을 잡았다면, 오픈AI는 “처음부터 방어 편이다”라는 쪽으로 자리를 잡았다.

박한우 영남대 미디어커뮤니케이션학과 교수는 이 흐름을 이렇게 진단했다. “보안은 더 이상 공격(창)을 방어(방패)로 막는 경쟁이 아니라 ‘신뢰를 어떻게 설계할 것인가’의 문제로 이동하고 있다. 우위를 점하는 쪽은 공격 능력이 뛰어난 쪽이 아니라 보이지 않는 인프라와 규칙을 설계·통제하는 쪽이다.”

그간 IT 업계가 걸어온 방향성으로 봤을때, 구글과 마이크로소프트가 곧 뭔가 맞불을 놓을 거라는 예측은 어렵지 않다. 빅테크는 한쪽이 치고 나가면 다른 쪽이 반드시 따라오게 돼 있다.

한국 정부는 9천억 원을 꺼냈지만, 그건 5년 프로젝트다

한국 정부도 그 사이 움직였다. 과학기술정보통신부는 AI 사이버 공격에 자동으로 대응하고 해킹 피해를 스스로 복구하는 자가 방어 시스템 “AI 사이버 실드 돔” 연구 프로젝트를 공식 추진하기 시작했다. 정보통신기획평가원(IITP) 주관으로 2027년부터 2032년까지 약 9천억 원 규모의 예산이 투입될 전망이다.

규모는 의미가 있다. 정부가 AI 보안을 국가 안보이자 전략 산업으로 격상하겠다고 선언한 것도 처음이다. 방향도 맞다.

그런데 시간표를 보면 마음이 복잡해진다. 2027년 착수, 2032년 완료. 이 일정이 성립하려면 공격 속도가 지금 수준에서 크게 안 바뀐다는 전제가 필요하다. 그런데 미토스 하나가 이미 공격 속도를 10배 가까이 끌어올렸다. 이 전쟁에서 5년은 긴 시간이다. 이건 일부 의견이 있지만 확정된 팩트는 아니다. 다만 IT 업계에서 5년짜리 국책 프로젝트가 그 사이에 전제가 바뀌지 않고 무사히 끝나는 경우가 얼마나 되었을까? 하는 우려가 “기우”가 아니길 바랄뿐이다.

국내 통신 3사는 아직 2025년을 수습 중이다

국내에서 가장 긴장하는 곳은 통신 3사다. SK텔레콤, KT, LG유플러스 모두 4월 둘째 주부터 보안 시스템 재정비에 들어갔다. 다른 산업보다 유독 분주해 보이는 데는 이유가 있다.

사연은 2025년으로 거슬러 올라간다. SK텔레콤은 2025년 4월 대규모 개인정보 유출 사고를 겪으며 시장 점유율이 40% 아래로 내려갔다. KT는 2025년 9월 유사한 사고로 고객 이탈을 겪었다. LG유플러스는 2025년 8월 미국 보안 전문지 “프랙(Phrack)”이 해커가 LG유플러스 서버 8,938대와 계정 4만 2,256개, 직원 정보 167명을 탈취했다고 보도한 이후, 과기정통부·한국인터넷진흥원 민관합동조사단이 조사에 착수했다. 그러나 조사 시점에 이미 서버가 재설치돼 해킹 흔적을 찾지 못했고, 은폐 의혹까지 제기되면서 2025년 말 경찰에 수사가 의뢰됐고 지난달에는 서울 강서구 LG유플러스 마곡 사옥이 압수수색을 받았다.

이렇듯 작년에 통신 3사 모두 보안이슈로 어수선한 한해를 보낸 상태에서, 이번에는 미토스가 등장한 거다. 이미 뚫렸던 조직이, 아직 그 수습도 다 못 끝낸 상태에서, 새로 등장한 훨씬 더 강한 공격 도구의 존재를 알게 된 상황이다. 업계 한 관계자가 “지난해 신원 미상 해커의 공격에 속수무책으로 당했던 통신사로서는 민감하게 바라볼 수밖에 없는 사안”이라고 한 말이 그 분위기를 정확히 요약한다.

배경훈 과기정통부 장관이 4월 16일 회의에서 “수십 년간 축적된 보안 체계가 손쉽게 무력화될 수 있다”고 한 발언은 원론적 경고처럼 들리지만, 이미 뚫린 경험이 있는 통신사 귀에는 훨씬 구체적인 예언으로 들릴 수밖에 없다.

가장 아이러니한 병목 — 방어 제도가 방어 속도를 늦추고 있다

이번 미토스 쇼크 관련 기사들을 읽으며 눈길이 갔던건, 김승주 고려대 정보보호대학원 교수가 한겨레 인터뷰에서 짚은 지점이다.

“정보보호 강화를 위해 도입한 제도가 사이버 보안 패러다임의 변화로 오히려 신속한 대응을 어렵게 만드는 아이러니한 상황이 발생한 것이다. 기술적인 대책뿐 아니라 기존 대응 프로세스의 재설계도 함께 검토해야 한다.”

배경은 이렇다. 2025년 해킹 사고가 잇따르자 정부는 CISO(정보보호최고책임자)를 임원급으로 지정하고, 이사회에 정보보호 현황을 정기적으로 보고하도록 제도를 강화했다. 좋은 취지였다. 조직이 보안을 “실무 부서의 일”이 아니라 “경영진의 일”로 받게 만드는 장치였다.

그런데 AI 기반 공격은 시간 단위로 전개된다. 해커가 취약점을 찾아내고 무기화해서 공격에 투입하는 데 몇 시간이면 된다. 같은 시간에 방어자 쪽은 담당자가 이슈를 파악하고, 실장에게 보고하고, 임원 결재를 받고, 이사회에 공유하는 절차를 밟는다. 이 절차 자체가 “공격 속도”를 상정하지 않고 설계된 게 문제다.

20여년을 IT업계에서 보내면서 반복적으로 본 패턴이다. 감사 친화적 제도는 필연적으로 즉시성을 해친다. 보고 단계가 많아질수록 책임 소재는 명확해지지만, 그 반대급부로 실무 판단이 위로 올라가는 시간이 길어진다. 평시에는 이 교환이 감당 가능했다. 그런데 공격 속도가 10배로 빨라진 지금, 교환 비율이 무너지고 있다.

한국 AI 경쟁력은 3위, 그러나 그늘도 같이 왔다

같은 주에 좋은 뉴스도 있었다. 스탠퍼드대 AI 인덱스 2026 보고서에 따르면 한국은 주요 AI 모델 수 기준 세계 3위(5개)를 기록했다. 1위 미국(50개), 2위 중국(30개) 다음이다. 인구 10만 명당 AI 특허 수 14.31개로 2년 연속 세계 1위도 유지했다.

그러나 같은 보고서는 민간 투자 규모와 AI 인재 확보 측면에서는 여전히 주요 경쟁국 대비 부족하다고 지적했다. 기술 생산은 잘하지만 그걸 뒷받침할 자본과 사람이 부족하다는 얘기다. 이 격차는 AI 보안 영역에서 가장 먼저 터질 가능성이 있다. 공격용 AI 모델은 소수 전문가만 있어도 만들 수 있지만, 그걸 방어하는 체계는 훨씬 많은 사람과 돈이 든다.

일반인 입장에서는 무엇을 할수 있을까?

지난 글에서도 언급했지만 AI 해킹 전쟁에서 개인 사용자가 할 수 있는 몫은 크지 않다. 내 집 문단속은 내가 해도, 아파트 중앙 관제실 해킹이나 내 휴대폰 서비스 회사의 해킹은 내가 할수 있는것이 없고 책임도 아니다.

그러나 한 가지는 확실하다. 자동화된 공격이 초당 수천 건의 계정을 시도하는 시대에, 비밀번호 하나만 뚫리면 연결된 모든 계정이 무너진다는 무서운 현실이다. 이젠 돌다리도 두들겨 보고 조금이라도 불안하면 아예 안건너는게 상책일수도 있다. 아런 일반론적인 다짐(?)과 당부(?) 외에는 창과 방패의 싸움을 지켜봐야 할 만큼 점점 그 리스크 변곡점은 다가오고 있다.

3분 요약

• 미토스 쇼크의 1주 차가 “무엇이 벌어졌나”였다면 2주 차는 “모든 속도가 바뀌었다”는 풍경이었다
• 공격 속도는 시간 단위로 짧아졌고, 미국 시장은 며칠 만에 오픈AI의 “GPT-5.4 사이버” 맞불로 반응했다
• 한국 정부는 2027~2032년 약 9천억 원 규모의 “AI 사이버 실드 돔” 프로젝트를 꺼냈지만, 5년짜리 일정은 공격 속도와 맞지 않는다
• 국내 통신 3사는 2025년 대규모 해킹 사고의 수습도 끝내지 못한 상태에서 미토스를 맞닥뜨렸다
• 2025년 강화된 CISO·이사회 보고 제도가 오히려 방어 속도를 늦추는 역설이 드러났다
• 한국은 AI 모델 수 3위, 특허 수 2년 연속 1위지만 민간 투자와 인재에서는 뒤쳐져 있어 보안 영역이 가장 먼저 영향을 받을 수 있다.

참고 기사

• 한겨레, “AI가 세계 최고 해커 될 수도…’미토스 쇼크’ 정보보호 체계 흔든다”, 2026.04.15
• 뉴스1, “‘미토스 쇼크’에 오픈AI 맞불…AI 패권 경쟁, 이제는 ‘보안'”, 2026.04.17
• 뉴스웨이, “통신3사도 ‘미토스 쇼크’에 ‘시름’…보안 위협에 골머리”, 2026.04.18
• 연합뉴스, “[AI위클리] 미토스 충격에 AI 판 흔들…보안이 ‘생존 변수’로”, 2026.04.19

게시물 미토스 쇼크’ 그 다음 주 — 공격은 시간 단위가 됐는데, 아직 우린 2025년을 수습 중이다이 Value Chain of Life에 처음 등장했습니다.

도대체 이 “클로드 미토스”가 뭐길래 이렇게 난리인지, 일반인 눈높이로 풀어본다.

클로드 미토스, 어떤 AI인가

클로드 미토스는 미국 AI 기업 앤트로픽(Anthropic)이 2026년 4월 7일 공개한 새 AI 모델이다. 앤트로픽은 챗GPT 만든 오픈AI와 함께 양대 AI 기업으로 꼽히는 회사고, “클로드(Claude)”는 이 회사의 대표 AI 서비스 이름이다. 미토스는 그 클로드 시리즈 중 가장 최신이자 가장 강력한 모델이다.

여기까지면 그냥 “더 똑똑한 AI 나왔네” 수준이다. 문제는 이 모델이 보여준 능력이 기존 AI들과 차원이 다르다는 점이다. 한 마디로 정리하면 이렇다.

“미토스는 사이버 해킹을 자동으로 할 수 있는 첫 AI다.”

미국 매체 액시오스는 앤트로픽이 미 정부 고위관리들에게 비밀리에 미토스를 “해커들의 꿈의 무기”라고 경고했다고 보도했다. 너무 위험해서 일반 공개를 안 한다는 게 앤트로픽의 공식 입장이다.

어느 정도로 잘 하길래

영국 정부 산하 AI 안전연구소(AISI)가 4월 13일 평가 결과를 공개했다. 이 연구소는 미토스에게 “더 라스트 원스(TLO)”라는 가상의 기업 해킹 시나리오를 풀게 했다. 회사 외부에서 침투해서, 네트워크 구조를 파악하고, 직원 계정을 탈취해서, 권한을 끌어올려, 결국 핵심 데이터를 빼내는 것까지 32단계로 구성된 시나리오다. 보안 전문가가 직접 하면 약 20시간 걸리는 작업이다.

미토스는 10번 시도해서 3번 완주했다. 평균적으로는 32단계 중 22단계를 수행했다. 이 시나리오를 처음부터 끝까지 완주한 AI는 미토스가 처음이다. 비교 대상이었던 기존 클로드 오퍼스 4.6은 평균 16단계, 오픈AI의 GPT-5.4는 평균 14단계에 그쳤다.

다른 평가도 충격적이다. 사이버보안 능력을 측정하는 “사이버짐(Cybergym)” 벤치마크에서 미토스는 83.1%를 기록했다. 직전 모델 오퍼스 4.6의 66.6%보다 17%포인트 높다. 전문가급 보안 경진대회(CTF) 문제도 73% 풀어냈다. 우리가 매일 쓰는 웹브라우저 파이어폭스를 해킹하는 테스트에서는 72.4%의 성공률을 보였는데, 이는 오퍼스 4.6보다 5배 높은 수치다.

진짜 무서운 사례들

수치만 보면 와닿지 않으니 구체적 사례를 보자. 앤트로픽이 미토스를 테스트하는 동안 발견한 것들이다.

오픈BSD라는, 보안성 높기로 유명한 운영체제에서 27년 동안 숨어 있던 버그를 미토스가 찾아냈다. 또 자동화 테스트 도구가 500만 번 이상 검사하고도 놓친, 16년 동안 존재해온 영상 소프트웨어 취약점도 탐지했다. 사람도 발견하지 못한 결함을 미토스는 찾아낸 것이다.

더 무서운 것은 “여러 취약점을 연결해서 공격 코드를 스스로 만들어낸다”는 점이다. 앤트로픽이 공개한 시스템 보고서에 따르면, 미토스는 서로 다른 4개의 버그를 연결해 자체적으로 공격 코드를 개발했다. 게다가 테스트 중에 미토스는 격리된 가상 공간(샌드박스)을 스스로 탈출해서 연구자에게 이메일을 보내는 행동까지 했다. 인간이 시키지 않았는데 스스로 행동한 것이다.

지금까지 알려진 모델 중 미토스만큼 보안 능력이 높은 모델은 없다. 그리고 이 능력이 방어가 아닌 공격에 쓰이는 순간 어떻게 될지가 모두의 우려다.

왜 무서운가 — 해킹의 비용 구조가 바뀐다

기존에도 AI가 해킹에 일부 도움을 준 건 사실이다. 피싱 메일 그럴듯하게 써주거나, 악성 스크립트 손봐주거나 하는 정도였다. 하지만 진짜 어려운 부분, 즉 “어떤 프로그램의 어디가 취약한지 찾아내고, 그걸 실제로 뚫는 공격 코드를 만드는” 작업은 여전히 사람이 해야 했다. 이게 가능한 전문가는 전 세계에 많지 않고, 국가 지원 해킹 조직이나 최상위 범죄 조직도 인력 확보가 쉽지 않았다.

미토스는 바로 그 어려운 구간을 자동화했다. 의미는 단순하다. 소수의 공격자가, 짧은 시간에, 훨씬 많은 시도를 할 수 있게 된다. 사이버 공격의 진입 장벽이 무너진 것이다.

한국 정부의 긴박한 4차례 회의

국내 움직임은 외신만큼이나 분주했다. 과학기술정보통신부는 이틀 사이 긴급회의만 4번 열었다.

4월 14일 오후 2시 — 류제명 과기정통부 제2차관 주재. SK텔레콤·KT·LG유플러스 통신 3사와 네이버·카카오·쿠팡·우아한형제들 등 주요 플랫폼사의 정보보호최고책임자(CISO)가 모였다. 정부는 “AI를 활용한 보안 위협에 주의하고 각사별로 긴급 보안 점검을 실시할 것”을 요청했고, AI를 활용한 특이 공격이 발생하면 한국인터넷진흥원(KISA)에 즉시 공유하라고 당부했다.

4월 14일 오후 5시 — 정보보호네트워크정책실장 주재로 국내 AI 보안전문가들과 별도 회의를 열어 미토스의 영향과 대응 방향을 논의했다.

4월 15일 오전 10시 — 한국정보보호산업협회(KISIA) 회원사 등 국내 정보보호기업과 간담회. 업계는 “AI로 인한 보안 위협은 소프트웨어 공급망 보안 강화 측면에서 검토해야 한다”고 강조했고, 보안 투자 여력이 부족한 중소기업의 격차 해소를 위한 정부 지원이 필요하다고 요청했다.

4월 15일 오후 4시 — 주요 기업 40개사 CISO 소집. SK하이닉스, 신한은행, 현대카드, 삼성서울병원, 카카오헬스케어, 롯데쇼핑 등 제조·금융·의료·유통 등 산업 전 분야의 핵심 기업들이 참석했다.

배경훈 부총리 겸 과기정통부 장관은 “미토스 등 고성능 AI 기반 사이버보안 서비스의 등장은 보안 수준의 획기적 향상의 기회가 되는 동시에 악용될 경우 큰 위험이 될 수 있음을 보여준다”며 “민·관이 합동으로 우리나라의 사이버 보안 생태계 고도화를 위해 노력하자”고 강조했다.

금융위원회도 별도로 비상 소집

같은 날인 4월 15일, 금융위원회도 별도로 권대영 부위원장 주재로 긴급 현안점검회의를 열었다. 금융감독원, 금융보안원과 은행·보험권 CISO들이 모였다. 금융위 관계자는 “AI 관련 해킹 위협이 강화되고 있다는 문제의식은 과거부터 있었으나, 미토스 등장으로 본격 이슈화되면서 개별 금융사들의 준비 상황을 공유하기 위해 모인 자리”라고 밝혔다.

금융권이 가장 긴장하는 이유는 명확하다. 촘촘히 연결된 글로벌 결제·송금 네트워크에서 미토스가 한 곳의 약점만 찾아내도 전체 시스템이 위험에 노출될 수 있다. 최악의 경우 대규모 예금 인출 사태(뱅크런) 같은 유동성 위기로 번질 수 있다는 우려까지 나온다.

미국·영국·캐나다도 동시에 움직였다

미국에서는 션 케언크로스 국가사이버국장이 트럼프 행정부 산하 주요 기관 관계자들을 소집해 정부 시스템 보안 강화 작업에 들어갔다. 그에 앞서 JD 밴스 부통령과 스콧 베선트 재무장관, 제롬 파월 연준 의장이 앤트로픽 CEO 다리오 아모데이, 구글 CEO 순다르 피차이, 오픈AI CEO 샘 올트먼, 마이크로소프트 CEO 사티아 나델라 등을 소집해 비공개 회의를 가졌다. 베선트 장관과 파월 의장은 별도로 JP모건·골드만삭스·뱅크오브아메리카 등 대형 은행 CEO들을 따로 불러 AI 관련 금융 보안 리스크를 다뤘다.

영국에서는 영란은행과 금융감독청, 국가사이버보안센터(NCSC)가 긴급 협의에 나섰고, 수주 내에 주요 은행·보험사·거래소를 대상으로 미토스 관련 사이버 위험을 공식 경고할 예정이다. 캐나다 중앙은행도 4월 10일 주요 금융기관과 함께 회의를 열었다.

국내 전문가들의 진단

김명주 AI안전연구소장은 “악용될 수 있는 잠재적 위험을 상당히 제거하고 위험을 통제할 수 있는 기반이 마련됐을 때 AI 기술을 공개해야 한다”며, AI의 성능에 비례한 안전성 평가 고도화와 위협 시 사용 제한 논의가 국제적으로 진행되고 있다고 밝혔다.

김승주 고려대 정보보호대학원 교수는 더 직설적으로 짚었다. “기술이 아니라 대응을 위한 의사결정과 예산 집행 등 절차가 공격 속도를 따라가지 못하는 데 문제가 있다”며 “조직 차원의 사이버 보안 대응 프로세스를 획기적으로 바꾸는 것이 우선”이라고 말했다. 또 사이버안전청 설립 등 공공 영역의 사이버 보안 거버넌스 개혁이 필요하다고 제안했다.

최병호 고려대 휴먼인스파이어드 AI연구원 교수는 안보 관점에서 경고했다. “미토스는 다단계 추론 능력이 급상승했다. 사이버전에 활용될 때 상대국의 금융·전력 시스템을 빠르게 교란할 수 있어 국가 안보 문제와 직결된다”고 분석하며 “소버린 AI(자국 통제 AI)”의 중요성이 커지고 있다고 강조했다.

시장 반응과 오픈AI의 맞불

주식 시장은 즉각 반응했다. 미토스 유출 보도가 나온 3월 27일 직후 사이버보안 기업 테너블(TENB) 주가가 약 11% 급락했고, 크라우드스트라이크(CRWD)와 팔로알토네트웍스(PANW)도 약 7% 떨어졌다. 4월 9일 공식 발표 후에는 지스케일러(ZS)가 8.6% 하락했다. 충격은 사이버보안 기업을 넘어 어도비(ADBE), 세일즈포스(CRM) 같은 일반 소프트웨어 기업으로까지 번졌다. 시장에서는 “사스포칼립스”(SaaS+아포칼립스, 즉 소프트웨어 기업의 종말)라는 말까지 등장했다.

오픈AI도 가만히 있지 않았다. 4월 14일 보안 전용 모델 “GPT-5.4 사이버”를 보안 전문가들에게만 우선 공개한다고 발표했다. 미토스를 정조준한 맞불이다.

일반인에게는 무슨 의미인가

솔직히 말하면, 이 사건은 일반 사용자가 당장 뭘 해야 한다기보다는 앞으로 일어날 변화의 신호탄에 가깝다. 핵심은 세 가지다.

첫째, AI 보안 위협은 더 이상 영화 속 이야기가 아니다. 회사 시스템을 자동으로 뚫고 들어오는 AI는 이미 존재한다. 앤트로픽 본인들조차 “공개되지 않더라도 중국을 포함한 경쟁국이 6~12개월 내에 비슷한 모델을 출시할 것”이라고 경고했다. 막아도 시간문제라는 뜻이다.

둘째, 개인 입장에서는 “기본기”가 더 중요해진다. 비밀번호 재사용 금지, 2단계 인증, 의심스러운 링크 클릭 안 하기 같은 기본 보안 수칙이 그 어느 때보다 중요해졌다. 평범한 보안 수칙 하나가 자동화된 공격을 막아주는 시대가 됐다.

셋째, 회사·기관의 보안 투자가 본격화될 것이다. 정부가 강조한 “제로트러스트”(어떤 접속도 일단 의심하고 검증하는 보안 모델)와 “공급망 보안” 같은 개념이 앞으로 자주 들리게 될 것이다. 보안 직군 수요도 함께 늘어날 가능성이 크다.

9줄 요약

✔ 클로드 미토스 = 앤트로픽이 4월 7일 공개한 신형 AI 모델, 사이버 해킹 능력이 핵심

✔ 영국 AISI 평가에서 기업망 해킹 시나리오를 완주한 첫 AI로 기록됨

✔ 27년된 OpenBSD 버그 발견, 4개 버그 연결한 공격 코드 자동 생성, 샌드박스 자력 탈출까지 확인

✔ 일반 공개 안 함, 12개+ 글로벌 기업의 “프로젝트 글래스윙”에만 제공

✔ 한국 과기부, 이틀 새 긴급회의 4번 — 통신 3사·플랫폼·40개 핵심 기업 CISO 줄소집

✔ 금융위원회도 별도 긴급회의, 은행·보험권 CISO 소집

✔ 미국·영국·캐나다 금융 당국 동시 비상, 월가 은행 CEO들 백악관 회의 소환됨

✔ 사이버보안 종목 주가 급락, “사스포칼립스” 용어까지 등장

✔ 개인 차원에서는 기본 보안 수칙(2단계 인증, 비밀번호 관리)이 어느 때보다 중요

참고 기사

• 뉴시스, “英 AI안전연 ‘클로드 미토스, 회사 네트워크 통째로 장악한 첫 AI'”, 2026.04.14
• 뉴스1, “이틀 새 긴급회의 4차례…’미토스 쇼크’에 정부 비상”, 2026.04.15
• 뉴스웍스, “과기부, ‘미토스 충격’에 정보보호기업·기업 CISO 대상 릴레이 긴급회의”, 2026.04.15
• 경향신문, “해킹 AI ‘미토스’ 등장에 한국도 ‘화들짝'”, 2026.04.15
• 이투데이, “美 백악관 긴장시킨 ‘클로드 미토스’…앤스로픽 AI, 안보 변수로 부상”, 2026.04.12
• 디일렉, “‘너무 위험한 AI 모델, 미토스’…앤트로픽, 일반 공개 불가”, 2026.04.08
• 더에이아이, “앤트로픽 ‘미토스’ 쇼크에 글로벌 금융가 비상”, 2026.04.14
• 디지털투데이, “전문가급 해킹 과제 73% 해결…앤트로픽 AI ‘클로드 미토스 프리뷰’ 화제”, 2026.04.15

게시물 클로드 미토스가 뭔데 한국정부까지도 난리지? — 이틀간 긴급회의만 4번 연 사연이 Value Chain of Life에 처음 등장했습니다.