Mythos 이후 CVE 급증, 보안의 병목이 패치로 이동했다
AI가 취약점을 더 빨리 찾을수록 보안이 자동으로 좋아지는 것은 아니다. 발견 속도와 패치 속도의 격차가 커지면 공개되지 않은 위험 재고가 늘어나고, 조직의 우선순위 결정 능력이 핵심 방어선이 된다.
AI 뉴스를 놓치지 마세요
매주 핵심 AI 소식을 이메일로 받아보세요.
CVE 급증은 좋은 소식이자 나쁜 소식이다
Epoch AI의 CVE severity spike 분석은 Claude Mythos Preview 공개 이후 고위험 취약점 공개가 급증했다는 신호를 다룬다. 검색 결과에 공개된 요약에 따르면 2026년 6월 21개 주요 조직에서 약 1,500건의 high 및 critical CVE가 공개됐고, 이는 Mythos 이전 월간 기록의 3.5배 이상으로 언급됐다. 숫자의 세부 해석에는 주의가 필요하지만, 방향은 분명하다. AI가 취약점 발견의 처리량을 바꾸고 있다.
Anthropic의 Mythos Preview 사이버 보안 평가는 이 변화를 더 직접적으로 설명한다. Mythos는 주요 운영체제와 브라우저에서 제로데이를 찾고 익스플로잇을 구성할 수 있다고 소개됐고, Project Glasswing을 통해 제한된 파트너와 방어 목적 배포가 이뤄졌다. 보안 업계 입장에서는 발견 도구가 강력해진 것이지만, 동시에 공격자에게도 같은 종류의 능력이 확산될 수 있다는 경고다.
발견의 자동화가 패치의 자동화를 앞질렀다
취약점은 발견되는 순간부터 시간과 싸운다. 과거에는 좋은 보안 연구자가 부족해서 문제가 숨겨져 있었다. 이제는 AI가 숨겨진 버그를 더 많이 찾아내면서 반대 문제가 생긴다. 발견 목록은 늘어나는데 유지보수자, 제품팀, 배포팀, 고객 공지 프로세스는 같은 속도로 늘어나지 않는다.
| 단계 | 과거 병목 | AI 이후 변화 | 새 병목 |
|---|---|---|---|
| 취약점 발견 | 전문가 시간 | AI 보조로 대량화 | 중복과 품질 검증 |
| 익스플로잇 확인 | 수작업 분석 | 자동 재현 가능성 증가 | 악용 가능성 분류 |
| 패치 작성 | 코드 이해 | 코딩 에이전트 보조 | 회귀 테스트 |
| 배포 | 릴리스 일정 | 큰 변화 없음 | 운영 승인 |
Daybreak 확장, 보안 AI의 병목은 패치다가 같은 문제를 다뤘다. AI가 취약점을 찾는 속도만 높이면 보안이 좋아지는 것이 아니라, 패치 검증과 배포 승인까지 함께 빨라져야 한다.
한국 기업은 공개 CVE보다 내부 재고를 봐야 한다
한국 기업 다수는 오픈소스 패키지, 오래된 프레임워크, 사내 포크, 외주 개발 코드가 섞인 환경을 운영한다. 공개 CVE 증가는 외부 뉴스처럼 보이지만 실제 영향은 내부 자산 목록에서 드러난다. 어떤 라이브러리를 어디에서 쓰는지 모르면 CVE가 늘어도 대응할 수 없다.
Patch the Planet, 오픈소스 보안의 인력 병목을 겨냥하다에서 다룬 것처럼 유지보수 인력은 갑자기 늘지 않는다. 따라서 기업은 SBOM, 의존성 그래프, 배포 환경별 영향 분석을 먼저 갖춰야 한다. CISA Known Exploited Vulnerabilities Catalog처럼 실제 악용 여부를 반영하는 목록과 NVD의 CVE 데이터, OSV 같은 개발자 친화 데이터베이스를 함께 봐야 한다.
AI 보안 도구의 올바른 배치
AI 보안 도구는 취약점 발견기 하나로 끝나지 않는다. 이상적인 흐름은 발견, 중복 제거, 영향도 산정, 패치 제안, 테스트 생성, 배포 계획까지 이어진다. 여기서 사람의 역할은 줄어드는 것이 아니라 우선순위를 정하고 위험을 승인하는 방향으로 이동한다.
가장 위험한 운영 방식은 AI가 찾아낸 취약점 목록을 그대로 쌓아두는 것이다. 목록이 길어질수록 조직은 마비되고, 공격자는 그중 실제 악용 가능한 항목만 골라 움직인다. 한국 보안팀은 AI 발견량 증가를 KPI로 삼기보다 평균 패치 시간, 긴급 패치 성공률, 회귀 장애율을 같이 봐야 한다.
자주 묻는 질문
Q1: CVE가 늘면 소프트웨어가 갑자기 더 위험해진 건가요?
A: 반드시 그렇지는 않다. 기존에 숨어 있던 취약점이 더 많이 발견되고 공개되는 효과도 크다.
Q2: Mythos 같은 모델이 공개되면 공격도 쉬워지나요?
A: 가능성이 있다. 그래서 제한 배포, 책임 있는 공개, 패치 속도 개선이 함께 필요하다.
Q3: 기업은 무엇부터 해야 하나요?
A: 자산 목록과 의존성 그래프를 정리하고, 공개 CVE가 내부 시스템에 미치는 영향을 빠르게 계산할 수 있어야 한다.
Q4: AI가 패치까지 자동으로 만들면 해결되나요?
A: 일부 도움은 되지만 회귀 테스트, 운영 승인, 고객 영향 분석은 여전히 별도의 체계가 필요하다.
Q5: 가장 중요한 지표는 무엇인가요?
A: 발견 건수보다 중요한 것은 실제 악용 위험이 높은 항목을 얼마나 빨리 검증하고 패치했는지다.
관련 토픽 더 보기
📰 원본 출처
epoch.ai이 기사는 AI 기술을 활용하여 작성되었으며, 원본 뉴스 소스를 기반으로 분석 및 해설을 추가한 콘텐츠입니다. 정확한 정보 전달을 위해 노력하고 있으나, 원본 기사를 함께 확인하시기를 권장합니다.