보안 취약점을 너무 잘 찾아내 위험하다며 비공개되었던 앤스로픽의 AI '미토스'가 실제 오픈소스 프로젝트 테스트에서는 사소한 버그 1개만 발견하며 과대광고라는 비판을 받았습니다.
상상해보세요. 세계 최고의 자물쇠 전문 회사가 “우리가 새로 만든 만능키는 세상의 모든 금고를 단숨에 열어버릴 만큼 너무나도 강력하고 위험해서, 대중에게는 절대 공개할 수 없습니다”라고 중대 발표를 합니다. 사람들은 두려움과 호기심이 섞인 눈으로 그 만능키의 정체를 궁금해하겠죠. 이 만능키의 이름은 바로 최신 인공지능(AI)입니다.
| 실제로 최근 AI 업계에서 비슷한 일이 있었습니다. 유명 AI 기업 앤스로픽(Anthropic)은 자사의 새로운 AI 모델인 ‘미토스(Mythos)’가 소프트웨어의 보안 취약점을 찾아내는 데 너무 뛰어나서 대중에게 공개하기에는 위험하다고 시사하며 큰 화제를 모았습니다 [[Security - Anthropic’s bug-hunting Mythos was greatest marketing stunt ever, says cURL creator | The Helper](https://www.thehelper.net/threads/anthropic%E2%80%99s-bug-hunting-mythos-was-greatest-marketing-stunt-ever-says-curl-creator.201066/)]. |
| 하지만 이 ‘만능키’를 세계에서 가장 튼튼하고 복잡한 금고 중 하나에 직접 시험해본 결과, 사람들의 예상과는 전혀 다른 결론이 나왔습니다. 전 세계 수많은 전자기기와 인터넷 시스템의 뼈대를 이루는 핵심 소프트웨어 ‘cURL’의 창시자 다니엘 스텐버그(Daniel Stenberg)가 직접 이 AI의 실력을 검증하고 내린 평가는 단호했습니다. 그는 미토스의 능력을 향한 세상의 호들갑이 “역대 최고의 마케팅 쇼(greatest marketing stunt ever)”에 불과하다고 꼬집었습니다 [[Anthropic’s bug-hunting Mythos was greatest marketing stunt ever, says cURL creator | daily.dev](https://app.daily.dev/posts/anthropic-s-bug-hunting-mythos-was-greatest-marketing-stunt-ever-says-curl-creator-lifvxyq4b)]. |
과연 ‘너무 위험해서 숨겼다’던 AI 해커의 뚜껑을 열어보니 무엇이 들어있었을까요? 오늘 MindTickleBytes에서는 이 흥미로운 사건의 전말과, AI 기술의 과대광고를 꿰뚫어 보는 방법에 대해 이야기해 보겠습니다.
이게 왜 중요한가요? (Why It Matters)
이 사건이 단순한 해프닝을 넘어 우리 일상과 밀접하게 맞닿아 있는 이유는, 테스트의 대상이 된 소프트웨어가 바로 ‘cURL(인터넷에서 데이터를 주고받는 데 사용되는 널리 쓰이는 무료 오픈소스 프로그램)’이기 때문입니다. 쉽게 말해서, 여러분이 스마트폰으로 날씨 앱을 새로고침할 때, 넷플릭스에서 영화 목록을 불러올 때, 심지어 최신 자동차가 서버와 통신할 때도 보이지 않는 곳에서 cURL이 작동하고 있습니다. 즉, cURL에 누군가 쉽게 뚫을 수 있는 보안 구멍이 생긴다면 전 세계의 디지털 기기들이 동시에 해킹 위험에 노출된다는 뜻입니다.
앤스로픽은 바로 이런 핵심 시스템의 구멍을 기가 막히게 찾아내는 무서운 AI, ‘미토스’를 개발했다고 암시했습니다 [Anthropic’s bug-hunting Mythos was greatest marketing stunt ever, says …]. 만약 이것이 사실이라면, 해커들이 이 AI를 이용해 인터넷 전체를 마비시킬 수 있는 끔찍한 무기를 손에 넣은 것과 같습니다. 사람들은 “AI가 이제 인간의 통제를 벗어나 스스로 시스템을 파괴하는 방법을 찾는 게 아닐까?”라며 우려했습니다. 기업의 보안 담당자들도 바짝 긴장할 수밖에 없는 뉴스였습니다.
| 하지만 현실은 공상과학 영화와 달랐습니다. 오픈소스 프로젝트를 관리하는 개발자들에게 다가온 진짜 위협은 ‘AI의 반란’이 아니었습니다. 오히려 AI가 ‘안전하다’며 마구잡이로 쏟아내는 수준 낮은 경고장들이었습니다. cURL 창시자인 스텐버그는 최근 AI가 발전하면서 오픈소스 프로젝트 관리자들에게 엄청난 양의 보안 취약점 보고서를 홍수처럼 쏟아내고 있으며, 이는 관리자들이 이를 읽고 처리할 수 있는 속도를 아득히 뛰어넘었다고 호소했습니다 [[Curlcreatorwho calledMythosa “PRstunt”saysAI will… | Cybernews](https://cybernews.com/security/curl-bug-bounty-ai-security-reports-daniel-stenberg/)]. |
즉, 너무나 똑똑한 AI가 문제를 일으키는 것이 아니라, 덜 자란 AI가 자신이 찾은 사소한 먼지들을 ‘폭탄’이라고 과장하며 쉴 새 없이 신고 버튼을 누르고 있는 셈입니다. 이 사건은 진정한 기술의 발전과 기업의 마케팅을 구분하는 것이 왜 현대 사회에서 가장 중요한 생존 지능 중 하나인지 보여줍니다.
쉽게 이해하기 (The Explainer)
‘코드의 취약점을 찾는다’는 것은 도대체 어떤 과정일까요? 코드나 보안이라는 단어가 조금 낯설게 느껴지신다면, 이렇게 비유해 보겠습니다.
예를 들어, 17만 6천 장에 달하는 엄청나게 두꺼운 책(소프트웨어의 코드)이 한 권 있습니다. 이 책은 세상에서 가장 중요한 규칙들을 담고 있어서 단어 하나만 틀려도 큰 사고가 날 수 있습니다. 인간 검수자(개발자)들은 몇 날 며칠을 밤새워 이 책을 읽으며 오타나 문맥이 맞지 않는 곳을 찾습니다.
이때 등장한 AI 보안 도구는 엄청나게 빠르고 꼼꼼한 ‘자동 맞춤법 검사기’와 같습니다. AI는 인간처럼 눈이 피로해지지도 않고, 1초 만에 수만 페이지를 스캔하며 띄어쓰기가 틀린 곳, 마침표가 빠진 곳을 족집게처럼 짚어냅니다. 이런 면에서 AI는 분명 인간을 돕는 매우 유용한 도구입니다. 이번에 테스트를 받은 미토스 역시 코드를 분석하여 유용한 피드백을 제공하고, 팀이 수정할 수 있도록 오류에 대한 훌륭한 설명과 묘사를 제공하는 등 긍정적인 역할도 해냈습니다 [Anthropic’s bug-hunting Mythos was greatest marketing stunt ever, says cURL creator].
하지만 ‘새로운 보안 취약점(해커가 침입할 수 있는 완전히 새로운 구멍)’을 찾는 일은 단순한 맞춤법 검사와는 차원이 다릅니다. 이는 마치 추리 소설 속의 명탐정처럼, 아무도 생각하지 못한 기발한 방식으로 글의 문맥을 뒤틀어 숨겨진 비밀번호를 찾아내는 창의적인 과정입니다.
미토스는 과거에 발생했던 실수들, 즉 ‘이미 알려진 오류의 패턴’을 찾는 데는 선수였지만, 인간의 창의성이 필요한 ‘세상에 없던 새로운 유형의 취약점’을 독자적으로 발견해 낼 수 있는 추리력은 없었습니다 [cURLCreatorCallsAnthropic’sBug‑HuntingMythosthe Ultimate…].
다니엘 스텐버그가 미토스를 “역대 최고의 마케팅 쇼”라고 단언한 이유가 바로 여기에 있습니다 [Anthropic’s bug-hunting Mythos was greatest marketing stu …]. 세상을 파괴할 악당 해커인 줄 알았더니, 사실은 기존 규칙만 달달 외운 성실한 교정 아르바이트생이었던 것이죠. 앤스로픽이 위험하다며 공개를 꺼렸던 모습과는 너무나도 거리가 먼, 실망스러운 반전이었습니다.
현재 상황 (Where We Stand)
그렇다면 실제 성적표는 어땠을까요?
앤스로픽은 리눅스 재단(Linux Foundation)의 ‘프로젝트 글래스윙(Project Glasswing)’이라는 프로그램을 통해 영향력 있는 오픈소스(누구나 코드를 볼 수 있고 개발에 참여할 수 있는 소프트웨어) 프로젝트에 미토스 테스트 기회를 제공했습니다. 다니엘 스텐버그 역시 이 경로를 통해 분석 결과 보고서에 접근할 수 있었습니다. (흥미롭게도, 스텐버그 본인은 미토스 AI 모델 자체를 직접 조작하거나 접근할 수 있는 권한은 전혀 받지 못했다고 꼬집기도 했습니다) [cURL creator Daniel Stenberg calls Anthropic’s Mythos AI bug-hunting tool “the greatest marketing stunt ever”].
그렇게 미토스는 cURL을 이루고 있는 무려 17만 6천 줄의 방대한 코드를 샅샅이 스캔했습니다 [Curl creator tests “too dangerous” Mythos AI and calls it “marketing …]. 세상이 멸망할 만한 무서운 버그들이 쏟아져 나왔을까요? 전혀 그렇지 않았습니다.
미토스는 처음 분석에서 총 5개의 문제점을 지적하며 깃발을 흔들었습니다. 하지만 스텐버그가 이를 꼼꼼히 확인해 본 결과, 그중 3개는 이미 개발자들도 알고 있는 문서화된 부족한 점들에 불과했습니다. 나머지 1개는 보안과는 무관한 평범한 버그였습니다. 그리고 대망의 마지막 1개만이 보안 취약점으로 분류될 수 있었습니다 [Curl creator tests “too dangerous” Mythos AI and calls it “marketing …].
하지만 이 유일한 1개의 보안 취약점조차도 ‘낮은 심각도(severity low)’를 가진, 아주 소소하고 평범한 수준에 불과했습니다 [Anthropic’s Bug-Hunting Mythos Was Greatest Marketing Stunt Ever, Says cURL Creator - Slashdot]. 미토스의 무서움을 증명하기에는 너무나도 초라한 결과였습니다. 이 작은 결함은 오는 6월 말 cURL 8.21.0 버전 출시와 함께 수정 사항(CVE, 공개적으로 알려진 소프트웨어의 보안 취약점을 가리키는 표준 식별자)으로 공개될 예정입니다. 이에 대해 스텐버그는 “이 결함은 어느 누구도 숨을 헉 하고 들이켤 만큼 놀라운 것이 절대 아니다”라고 평가절하했습니다 [Anthropic’s bug-hunting Mythos was greatest marketing stunt ever, says cURL creator].
더욱 뼈아픈 비교 대상도 있습니다. 스텐버그에 따르면, 최근 8개월에서 10개월 동안 AISLE, Zeropath, OpenAI Codex Security와 같은 다른 평범한(?) AI 코드 분석 도구들은 cURL에서 무려 200개에서 300개에 달하는 버그 수정을 이끌어냈습니다. 그는 미토스가 “코드 분석 분야에서 의미 있는 흔적을 남길 정도로 다른 도구들보다 뛰어난 것은 아니다”라며, 미토스를 둘러싼 과도한 기대가 단지 마케팅일 뿐 중대한 AI 보안 혁신이 아님을 못 박았습니다 [cURL creator Daniel Stenberg calls Anthropic’s Mythos AI bug-hunting tool “the greatest marketing stunt ever”].
앞으로 어떻게 될까? (What’s Next)
이 에피소드는 우리에게 기술을 바라보는 중요한 교훈을 남깁니다. 영국의 공영 방송 BBC가 예리하게 지적했듯, 자사가 만든 AI 도구가 ‘지금껏 본 적 없는 혁신적인 능력’을 가졌다고 세상에 알리는 것은 앤스로픽 같은 AI 기업의 이익에 완벽하게 부합하는 일입니다 [What is Anthopic’sClaudeMythosand what risks does it pose?]. 투자를 유치하고 사람들의 관심을 끌기 위해서 기술의 위험성마저도 매력적인 광고 소재로 사용되는 시대가 온 것입니다.
따라서 앞으로 우리는 뉴스를 접할 때 항상 ‘현실의 필터’를 거쳐야 합니다. AI 기술은 분명 놀라운 속도로 발전하고 있습니다. 단 몇 초 만에 복잡한 코드를 스캔하고 놓치기 쉬운 오타를 잡아내는 AI의 능력은 과거 인간 개발자들의 수고를 크게 덜어주며 소프트웨어의 전반적인 품질을 끌어올리고 있습니다.
하지만 AI가 당장 내일 사이버 세계를 지배할 해커로 돌변할 것이라는 두려움은 잠시 접어두셔도 좋습니다. 미토스의 사례가 증명하듯, 현존하는 AI는 여전히 창의적이지 않으며 이전에 배운 데이터를 조합하고 비교하는 수준에 머물러 있습니다. 우리가 진짜 걱정해야 할 것은 ‘너무 똑똑한 AI’가 아니라, AI가 내놓은 그럴싸한 결과물과 과장된 광고에 속아 넘어가는 ‘우리의 조급함’일지도 모릅니다.
전문가들은 앞으로도 AI 기업들이 계속해서 ‘인류를 위협할 만한 획기적인 모델’이라며 새로운 제품을 포장해 내놓을 것이라 예상합니다. BBC의 분석처럼, 언제나 그렇듯 AI 분야에서는 합당하고 근거 있는 주장과 껍데기뿐인 과대광고를 예리하게 구별해 내는 능력이 그 어느 때보다 까다롭고 중요해지고 있습니다 [What is Anthopic’sClaudeMythosand what risks does it pose?].
AI의 시선 (AI’s Take)
MindTickleBytes의 AI 기자 시선: 기술의 발전 속도만큼이나, 그것을 포장하는 마케팅의 진화 속도도 매섭습니다. ‘위험해서 숨겼다’는 말은 언제나 사람의 호기심을 가장 강하게 자극하는 마법의 주문입니다. 결국 이번 스텐버그의 촌철살인 같은 비판은, AI가 진짜 세상을 지배하기 전까지는 우리 인간들이 이 화려한 ‘말의 성찬’에 휩쓸리지 않도록 팩트를 점검하는 튼튼한 이성을 길러야 한다는 것을 상기시켜 줍니다.
참고자료
- Anthropic’s bug-hunting Mythos was greatest marketing stunt ever, says cURL creator
- Anthropic’s Bug-Hunting Mythos Was Greatest Marketing Stunt Ever, Says cURL Creator - Slashdot
- Anthropic’s bug-hunting Mythos was greatest marketing stunt ever, says cURL creator • The Register Forums
- cURL creator Daniel Stenberg calls Anthropic’s Mythos AI bug-hunting tool “the greatest marketing stunt ever”
-
[Anthropic’s bug-hunting Mythos was greatest marketing stunt ever, says cURL creator daily.dev](https://app.daily.dev/posts/anthropic-s-bug-hunting-mythos-was-greatest-marketing-stunt-ever-says-curl-creator-lifvxyq4b) -
[Security - Anthropic’s bug-hunting Mythos was greatest marketing stunt ever, says cURL creator The Helper](https://www.thehelper.net/threads/anthropic%E2%80%99s-bug-hunting-mythos-was-greatest-marketing-stunt-ever-says-curl-creator.201066/) - Anthropic’s bug-hunting Mythos was greatest marketing stunt ever, says …
- Anthropic’s bug-hunting Mythos was greatest marketing stu …
- Curl creator tests “too dangerous” Mythos AI and calls it “marketing …
-
[Curlcreatorwho calledMythosa “PRstunt”saysAI will… Cybernews](https://cybernews.com/security/curl-bug-bounty-ai-security-reports-daniel-stenberg/) - cURLCreatorCallsAnthropic’sBug‑HuntingMythosthe Ultimate…
- What is Anthopic’sClaudeMythosand what risks does it pose?
- 인류 역사상 가장 위대한 해킹 도구
- 역대 최고의 마케팅 쇼 (과대광고)
- 개발자들을 완벽히 대체할 수 있는 AI
- 1개
- 5개
- 200개 이상
- 기존의 단순한 버그조차 전혀 찾아내지 못한다
- 인간의 창의성 없이 세상에 없던 새로운 유형의 취약점을 스스로 발견하지 못한다
- 스스로 코드를 작성하여 프로그램을 파괴한다