미국 재무장관과 연준 의장이 은행 CEO를 긴급 소집한 이유, Anthropic Mythos

27년 된 버그를 AI가 찾아냈고, 월가가 패닉에 빠졌다

4월 7일, 워싱턴 D.C. 재무부 청사에 이례적인 회의가 소집됐어. 스콧 베센트 재무장관과 제롬 파월 연방준비제도(연준) 의장이 미국 최대 은행 CEO 5명을 긴급 호출한 거야. 뱅크오브아메리카의 브라이언 모이니한, 시티그룹의 제인 프레이저, 골드만삭스의 데이비드 솔로몬, 모건스탠리의 테드 픽, 웰스파고의 찰리 샤프가 참석했어. JP모건의 제이미 다이먼만 일정상 불참했지.

이유는 하나야. Anthropic이 이번 주 제한 공개한 AI 모델 Mythos Preview가 모든 주요 운영체제와 웹 브라우저에서 수천 개의 제로데이 취약점(zero-day vulnerability, 아직 아무도 몰랐던 보안 구멍)을 찾아냈기 때문이야. 재무부와 연준이 같은 테이블에 앉아 동시에 은행을 불러 모은 건 2023년 실리콘밸리은행 파산 사태 이후 처음이야.

이번 회의의 의도는 경고라기보다 "자체 평가 보고서를 제출하라"에 가까워. Sullivan & Cromwell의 메모에 따르면, 참석한 은행들에게 주어진 과제는 크게 세 가지였어. 첫째, 현재 인프라의 AI 기반 취약점 스캔 대응 수준 진단. 둘째, 레거시 시스템 중 즉시 패치 대상 식별. 셋째, 벤더 공급망(써드파티 SaaS 포함)의 AI 시대 리스크 평가.

가장 오래된 취약점은 OpenBSD에서 27년간 발견되지 않은 버그였어. 수십 년 동안 인간 보안 전문가들의 눈을 피한 결함을 AI가 찾아낸 거야.

---

이걸 이해하려면: Mythos는 어떤 모델인가

Anthropic의 Mythos Preview는 단순한 챗봇이 아니야. 이 모델은 소프트웨어 시스템의 취약점을 식별하고, 실제로 작동하는 공격 코드(exploit)까지 작성할 수 있는 사이버보안 특화 AI야.

숫자부터 보자.

벤치마크	Mythos Preview	Claude Opus 4.6	GPT-5.4
SWE-bench Verified	93.9%	80.8%	약 82%
SWE-bench Pro	77.8%	53.4%	57.7%
GPQA Diamond	94.6%	약 90%	94.4%
CyberGym	83.1%	비공개	비공개

SWE-bench Verified(실제 GitHub 이슈를 해결하는 코딩 벤치마크)에서 93.9%라는 건, 기존 최고 모델 대비 13%포인트 이상의 도약이야. 하지만 진짜 충격은 벤치마크가 아니라 실전이었어.

Anthropic이 Mythos를 만들기 시작한 건 2025년 말이야. 당시 Anthropic은 AI가 사이버보안에서 방어와 공격 양쪽 모두에 혁명적 변화를 가져올 거라고 판단했어. 기존 모델인 Claude Opus 4.6도 코딩 능력이 뛰어났지만, 보안 취약점을 체계적으로 탐색하고 실제 공격 벡터를 구성하는 능력은 별개의 영역이었거든.

Mythos는 아키텍처적으로 Opus 4.6과 유사하지만, Anthropic이 "완전히 다른 모델 카테고리"라고 부르는 수준의 능력 향상을 보여줬어. 특히 코드 분석, 취약점 패턴 인식, 그리고 멀티스텝 공격 체인 구성에서 기존 모델과는 차원이 달랐어.

출처: commons.wikimedia.org · 미 연방정부 공식 자료, Public Domain

파이어폭스 테스트: 181개의 작동하는 공격 코드

Mythos의 능력을 가장 극적으로 보여준 건 파이어폭스 취약점 테스트야. Mythos는 181개의 실제로 작동하는 공격 코드를 개발했고, 추가로 29개에서 레지스터 제어(프로그램의 핵심 실행 흐름을 장악하는 것)에 성공했어.

한 사례에서는 4개의 서로 다른 취약점을 연결(chaining)해서 하나의 웹 브라우저 공격 코드를 작성했어. JIT 힙 스프레이(JIT heap spray, 브라우저의 코드 컴파일러를 악용하는 공격 기법)를 구현해서 렌더러 샌드박스와 OS 샌드박스를 모두 탈출한 거야. 리눅스에서는 미묘한 레이스 컨디션과 KASLR 우회를 조합해서 로컬 권한 상승 공격에 성공했어.

쉽게 말하면, 이 AI는 보안 전문가 팀이 몇 주에 걸쳐 할 작업을 단독으로, 그것도 자동으로 해냈다는 뜻이야.

---

핵심 내용 해부: 왜 월가가 긴급 소집됐나

금융 시스템은 사이버 공격의 최우선 타깃

은행은 세계에서 가장 큰 소프트웨어 시스템 중 하나를 운영해. JP모건 체이스는 연간 170억 달러를 기술에 투자하고, 수만 명의 개발자가 코드를 작성해. 문제는 이 코드 중 상당 부분이 수십 년 된 레거시 시스템 위에 쌓여 있다는 거야.

Mythos가 보여준 건, AI가 이런 레거시 코드 속에 숨어 있는 취약점을 인간보다 훨씬 빠르고 체계적으로 찾아낼 수 있다는 거야. 27년 된 OpenBSD 버그가 대표적이지. 인간 리뷰어 수천 명이 놓친 걸 AI가 찾아낸 거니까.

베센트 장관과 파월 의장이 걱정한 건 정확히 이 지점이야. Mythos 수준의 AI가 공격자 손에 들어가면, 금융 시스템의 보안 벽이 종이처럼 뚫릴 수 있어. 현재 금융권의 사이버 보안은 "공격자보다 방어자가 더 많은 자원을 투입한다"는 전제 위에 서 있는데, AI가 그 균형을 완전히 깨뜨릴 수 있는 거야.

Anthropic의 대응: Project Glasswing

Anthropic도 이 위험을 알고 있었어. 그래서 Mythos를 일반 공개하지 않았어. 대신 "Project Glasswing"이라는 프로그램을 만들었지.

항목	내용
접근 권한	40개 이상의 화이트리스트 조직만
대상	핵심 소프트웨어 인프라를 구축하거나 유지하는 기관
가격	입력 $25 / 출력 $125 (백만 토큰당)
일반 공개	계획 없음

$25/$125라는 가격은 일반 모델 대비 매우 높은 편이야. Claude Opus 4.6의 API 가격($15/$75)보다 비싸고, 접근 자체가 제한적이야. 하지만 Anthropic 입장에서는 이 모델이 가진 양면성 때문에 이런 결정을 내린 거야.

출처: commons.wikimedia.org · Federal Reserve 공식 자료, Public Domain

회의에서 은행들이 받은 숙제

Sullivan & Cromwell의 공개 메모와 Bloomberg의 소스 취재를 종합하면, 회의는 90분간 진행됐어. 베센트 장관의 오프닝이 15분, Anthropic의 기술 브리핑이 약 30분, 은행별 Q&A가 약 45분이었어. 은행들이 받아 들고 나온 체크리스트는 다음과 같아.

영역	요구 사항	기한
레거시 시스템 인벤토리	10년 이상 된 코드베이스 목록화	30일
AI 취약점 스캐너	내부 AI 기반 SAST 도입 계획	60일
벤더 리스크 평가	주요 SaaS 벤더의 AI 대응 감사	90일
제로데이 대응 프로토콜	Project Glasswing과의 정보 공유 체계	60일
보고 체계	분기별 재무부·연준 공동 브리핑	지속

이 체크리스트는 공식 규제는 아니야. "비공식 요구" 수준이지. 하지만 재무장관과 연준 의장이 함께 요청한 건 사실상 준수 의무에 가까워. 은행 감독 검사(bank examination) 때 이 항목들이 반영될 가능성이 크거든.

---

더 넓은 그림: AI 사이버보안의 패러다임 전환

이 사건은 AI 업계 전체에 중요한 질문을 던지고 있어. AI가 보안 취약점을 찾는 능력이 비약적으로 발전하면, 그건 방어에 좋은 건가, 아니면 공격에 좋은 건가?

지금까지 사이버보안의 기본 구도는 이랬어. 공격자는 하나의 구멍만 찾으면 되지만, 방어자는 모든 구멍을 막아야 해. 이건 구조적으로 공격자에게 유리한 게임이야. 그런데 Mythos 같은 AI가 등장하면 이 구도가 양쪽 모두에서 증폭돼.

방어 측면에서는, 이전에 발견하지 못했던 취약점을 체계적으로 찾아서 패치할 수 있어. Anthropic이 이미 주요 소프트웨어 벤더에 취약점을 통보하고 패치 작업이 진행 중이라고 밝혔어. VentureBeat에 따르면, 일부 보안 팀은 이미 Mythos가 발견한 취약점 기반으로 새로운 탐지 플레이북을 만들고 있어.

하지만 공격 측면에서는, 비슷한 능력을 가진 모델이 오픈소스나 불법 유출을 통해 공격자에게 넘어갈 경우, 방어 속도가 공격 속도를 따라잡지 못할 수 있어. 오늘날 국가 단위 해커 그룹이 비슷한 AI를 자체 개발하고 있다는 건 공공연한 비밀이야.

베센트 장관이 은행 CEO를 소집한 건 단순한 경고가 아니야. "지금 당장 사이버 방어 체계를 AI 시대에 맞게 재설계하라"는 사실상의 행정 명령에 가까워.

---

시장 반응: 주가, 국제 공조, 업계 움직임

시장은 즉각 반응했어. Anthropic 관련 투자자들 — 특히 Google의 지분 — 주가는 단기적으로 흔들렸지만, 금융 보안 섹터 주가는 오히려 올랐어. CrowdStrike, Palo Alto Networks, SentinelOne이 발표 직후 3–7% 상승했지. 시장은 "Mythos가 위협이지만 동시에 사이버 방어 시장의 확대 신호"라고 해석한 거야.

국제 공조도 빠르게 움직이고 있어. 영국 잉글랜드은행과 FSA(금융서비스감독청)가 4월 11일 유사 회의를 소집했고, 유럽중앙은행(ECB)도 4월 15일 대형 은행 CISO 회의를 열기로 했어. 일본 금융청(FSA)과 한국 금융감독원도 내부 검토를 시작했다는 보도가 나왔어.

기술 업계는 분화되는 모양새야. OpenAI는 "자사 모델은 공격적 보안 활용을 제한적으로만 허용한다"는 성명을 냈고, Meta는 Llama 계열 오픈소스 모델에 보안 관련 가드레일을 추가하는 작업을 시작했어. 오픈소스 진영은 딜레마에 빠졌어 — 가드레일을 강화하면 연구자 접근이 제한되고, 방치하면 악용될 위험이 있거든.

---

그래서 뭐가 달라지는데

일반 사용자 입장에서 Mythos를 직접 쓸 일은 없어. 모델 자체가 비공개니까. 하지만 이 사건이 가져올 변화는 크게 세 가지야.

첫째, 금융 앱의 보안 업데이트가 빨라질 거야. 은행들이 AI 기반 취약점 탐지를 대규모로 도입할 동기가 생겼으니까.

둘째, AI 모델의 "위험 등급" 분류가 본격화될 거야. Mythos처럼 양면적 능력을 가진 모델에 대한 접근 통제는 앞으로 업계 표준이 될 가능성이 높아.

셋째, 개발자라면 자기가 작성한 코드가 AI에 의해 취약점 스캔을 당하는 시대가 왔다는 걸 인식해야 해. 코드 리뷰의 기준이 "인간이 봐서 괜찮은 수준"에서 "AI가 찾아도 뚫리지 않는 수준"으로 올라가는 거야.

재무장관과 연준 의장이 직접 나서서 은행 CEO를 소집했다는 건, AI의 사이버보안 영향이 더 이상 기술계만의 문제가 아니라 국가 경제 안보의 문제가 됐다는 뜻이야.

---

참고 자료

• Bessent, Powell Summon Bank CEOs to Urgent Meeting Over Anthropic's New AI Model — Bloomberg
• Powell, Bessent discussed Anthropic's Mythos AI cyber threat with major U.S. banks — CNBC
• Anthropic's Claude Mythos Preview sparks race to fix critical bugs — Tom's Hardware
• Anthropic says its most powerful AI cyber model is too dangerous to release publicly — VentureBeat
• Treasury Secretary and Federal Reserve Chair Warn Bank CEOs About Cybersecurity Risks — Sullivan & Cromwell
• Bessent and Powell convened Wall Street CEOs to address Anthropic's Mythos model — Fortune
• Fed Chair Jerome Powell, Treasury's Bessent and top bank CEOs met over Anthropic's Mythos model — CBS News