제로데이를 양산하는 Claude Mythos 5에 대해 미국 정부가 수출 규제를 가하다

OpenBSD의 TCP 스택에 27년 동안 잠들어 있던 DoS 취약성이 있다. 아무도 눈치채지 못한 채 4반세기 동안 방치되었던 그 결함을 Anthropic의 언어 모델이 스스로 찾아냈다. FFmpeg의 H.264 디코더에 16년 동안 잠재되어 있던 버그도, FreeBSD의 NFS 구현에 17년 동안 존재했던 원격 코드 실행(Remote Code Execution)도 마찬가지다. 여기까지는 "또 똑똑한 모델이 나왔다"로 끝날 이야기지만, 그다음이 있다. 2026년 6월, 미국 상무부가 이 모델에 수출 규제를 가했다. 소프트웨어가 아니라, 마치 무기에 대응하듯이.

규제 대상은 Claude Mythos 5이다. Anthropic이 "자사에서 가장 강력한 사이버 보안 모델"이라고 부르는 범용 LLM이다. 능력의 상세 내용은 해당 회사의 레드팀(Red Team)이 4월에 공개한 평가 보고서(Mythos Preview)에 기술되어 있다.

보안 용도로 LLM이 화제가 되는 것 자체는 새로운 일이 아니다. 코드를 읽고 "이 부분이 수상하다"라고 지적하는 정도라면 기존 모델로도 어느 정도 가능했다. Mythos가 선을 넘은 지점은, 지적을 넘어 실제로 동작하는 익스플로잇(Exploit) 생성까지 사람의 손을 거의 거치지 않고 도달했다는 점에 있다.

Anthropic이 사용한 것은 Claude Code에 Mythos를 결합한 자율적인 에이전트 스캐폴드(Agentic Scaffold)다. 모델이 코드를 읽고, 취약성 가설을 세우고, 대상을 실제로 구동하여 검증하며, 개념 증명(PoC) 코드까지 작성한다. 이 일련의 과정을 스스로 수행한다. 검증에는 약 1,000개의 OSS 리포지토리로 구성된 OSS-Fuzz 코퍼스와 약 7,000개의 엔트리 포인트(Entry Point)가 사용되었다. 심각도는 tier 1~5로 평가된다.

숫자가 웅변하고 있다.

지표	Claude Mythos	이전 세대(Opus 4.6 / Sonnet 4.6)
OSS-Fuzz에서의 고심각도 크래시(tier 1–2)	595건	150~175건
...

마지막 행이 은근히 무겁다. tier 5인 "완전한 제어 흐름 탈취"를 이미 패치가 적용된 타겟에 대해 10건 성립시켰다. 즉, 기존의 대책을 뚫고 KASLR이나 스택 카나리(Stack Canary), 샌드박스(Sandbox)와 같은 현대적인 완화책(Mitigation)을 회피하면서 JIT 힙 스프레이(JIT Heap Spray)나 ROP 체인을 구성하고 있다. 실재하는 제로데이(서두의 OpenBSD/FFmpeg/FreeBSD 및 VMM의 게스트→호스트 메모리 파괴, Linux 커널의 권한 상승 체인 등)도 구체적으로 나열되어 있다.

수동 검증에서는 리뷰한 198건의 취약성 보고서 중 89%가 심각도 판정까지 정확히 일치했다고 한다. 그리고 Anthropic은 "발견된 취약성의 99% 이상이 아직 수정되지 않았다"며 상세 내용 공개를 중단하고 있다. 보고 시에는 SHA-3 해시 커밋으로 "먼저 발견했다"는 사실만을 증명하고, 패치 공개 전까지 내용을 숨기는 방식을 채택하며, 90일+45일의 협력적 공개 프로세스를 밟는다고 밝혔다.

여기서 핵심이 되는 것이 AI 보안에서 "업리프트(Uplift, 저변 확대)"라고 불리는 개념이다. 문제는 "모델이 대단한가"가 아니라, "인간이 단독으로 할 수 있는 일에 모델이 얼마나 더해지는가"에 있다. 이전 세대에서는 거의 불가능했던(수백 번 시도하여 2번 성공) 브라우저 엔진의 익스플로잇 생성이 181회 성립하게 되었다. 이는 정밀도가 조금 올라갔다는 이야기가 아니라, 그때까지 한 줌의 전문가만이 도달할 수 있었던 공정을 스캐폴드만 있다면 수행할 수 있는 영역으로 끌어내렸다는 의미다.

방어 측면에서는 복음이 될 수 있다. 방대한 OSS를 지속적으로 감사하고, 수정 전에 구멍을 메울 수 있다. 하지만 동일한 능력은 공격 측에도 똑같이 열려 있다. 99%가 미수정이라는 숫자는 찾는 속도가 고치는 속도를 완전히 앞질렀음을 의미한다. Anthropic이 상세 내용을 숨기고 Mythos를 일반 제공하지 않으며, 중요 산업 파트너와 OSS 개발자로 한정된 배포 프로그램(Project Glasswing)을 통해서만 제공하는 것은 이러한 비대칭성을 고려한 결과일 것이다.

기술 이상으로 전례가 없는 것은 지금부터다.

9to5Mac에 따르면, 미국 정부는 6월 12일에 Claude Mythos 5에 대한 수출 규제 지시를 내렸다. 배경으로 보도되는 내용은 Amazon의 Andy Jassy CEO가 Scott Bessent 재무장관에게 "모델이 악용 목적으로 탈옥(Jailbreak)될 수 있는" 취약성을 전달한 것, 그리고 중국의 접근에 대한 백악관의 우려다. 모델의 가중치(Weights)나 접근 권한이 수출 관리 프레임워크에 의해 차단된 형국이 되었다.

그리고 6월 26일 밤부터 27일에 걸쳐, 하워드 러트닉 (Howard Lutnick) 상무장관이 Anthropic의 최고 컴퓨팅 책임자 (Chief Compute Officer) 톰 브라운 (Tom Brown) 씨에게 보낸 서한을 통해 규제를 부분적으로 해제했다.

appropriate safeguards are in place to permit certain trusted partners to access the Claude Mythos 5 Model

이를 통해 정부 기관과 대기업을 포함한 100개 이상의 미국 내 기관이 Mythos 5를 이용할 수 있게 되었다. Anthropic 스스로도 "가장 강력한 사이버 보안 모델인 Mythos 5를 중요 인프라를 운영 및 방어하는 미국의 조직군에 재배포할 수 있게 되었다"라고 밝혔다. 반면, 약한 형제 격인 Fable 5에 대해서는 서한에서 침묵을 지켰으며, 미국 외의 미승인 주체나 외국 정부를 향한 접근은 여전히 제한되어 있다.

솔직히 말하자면, 대다수의 엔지니어는 당분간 Mythos 5를 만질 수 없다. 일반 제공(General Availability)되지 않으며, 승인 기관 리스트에도 포함되어 있지 않다. 그런 의미에서 이는 "내일부터 바로 쓸 수 있는 기능"에 관한 이야기가 아니다.

그럼에도 남의 일이 아니다. 첫째, 내가 의존하고 있는 OSS (오픈 소스 소프트웨어: 커널, 코덱, 브라우저 엔진)에 4반세기 규모의 구멍이 남아 있고, 그것을 기계가 몇 초 만에 찾아내는 시대에 진입했다는 사실은 무겁다. SBOM (소프트웨어 자재 명세서) 정비나 의존성 업데이트를 "언젠가 할 일" 목록에서 제외할 이유가 된다. 둘째, 취약점 공개의 경제학이 변한다. 발견이 수정을 앞지르는 세상에서는 CVE (공통 취약점 노출)가 나온 뒤에 움직여서는 늦다. Anthropic이 해시 커밋 (Hash Commit)이나 90+45일 프로세스를 굳이 설계한 것은, 공개 방식(Disclosure etiquette) 그 자체를 재설계해야 할 필요성에 직면했기 때문이다.

유의해야 할 점도 있다. 여기에 언급된 수치는 모두 Anthropic의 자기 신고이며, 제3자의 재검증은 아직 이루어지지 않았다. 181배나 tier 5의 10건 역시 해당 회사의 기반 및 평가 설계상의 수치다. 이를 감안하여 읽는 태도가 필요하다.

그럼에도 정부가 한 기업의 모델을 지목하여 중단시키고, 서한 한 통으로 "신뢰할 수 있는 파트너"에게만 해금하는 운영이 현실에서 일어났다. 모델의 능력이 일정 임계치를 넘어서면, 소프트웨어 배포는 외교나 수출 관리의 문제로 변한다. Mythos가 남긴 진정한 전례는 발견한 제로데이 (Zero-day)의 개수가 아니라, 바로 그 지점일지도 모른다.

(출처: Anthropic 「Claude Mythos Preview」 레드팀 평가, Semafor, 9to5Mac)