요즘 바이브코딩, 세미나, 학습, 자격증시험 등 해야할껀 많은데 정보 과잉 시대에 살고 있는 한 사람으로써 학습방에 묵혀두고 있던 글들을 보았다.
확실히 AI가 거품이라고 하는 사람도 있지만 거품이라고 하기엔 실체들이 너무 많이 나오고 있으며 ‘거품이다’라고 할 만큼 가속화 되고 있는 것도 사실인 것 같다.
- https://news.hada.io/topic?id=29406
- https://news.hada.io/topic?id=28293
- https://news.hada.io/topic?id=12681
1. 급격하게 진화하는 AI 모델과 2년 만에 뒤바뀐 보안 트렌드
소프트웨어 엔지니어링과 보안 시장에서 인공지능(AI) 기술이 가져오는 변화의 속도는 인간의 예측 범위를 아득히 넘어서고 있다.
많은 이들이 현재의 AI 열풍을 단순한 기술적 거품(Hype)이나 마케팅적 호들갑으로 치부하곤 한다. 그러나 실제 현장에서 벌어지는 타임라인을 추적해 보면 이것이 거품이 아닌 실체적 패러다임 시프트라는 사실을 깨닫게 된다.
2024년 초반까지만 하더라도 오픈소스 생태계는 AI가 생산해내는 결과물로 인해 골머리를 앓았다.
당시 수많은 사용자가 거대언어모델(LLM)에 무작위로 소스 코드를 입력한 뒤, AI가 그럴싸한 문체로 뱉어낸 가짜 보안 취약점 보고서를 오픈소스 프로젝트의 버그 바운티(Bug Bounty) 시스템에 무차별적으로 제출했음의 사례가 존재한다.
대표적인 오픈소스 데이터 전송 도구인 curl 프로젝트의 개발팀 역시 이러한 ‘AI 쓰레기 리포트의 쓰나미’를 처리하느라 막대한 시간과 노동력을 낭비해야만 했다. 이 시기의 AI는 보안을 강화하는 도구가 아니라, 오히려 인간 개발자의 업무 효율성을 저해하는 노이즈 제조기에 가까웠다는 것이다.
그러나 불과 2년이 지난 2026년 4월, 분위기는 완벽하게 반전된다.
Anthropic이 소스 코드의 보안 결함을 정밀 타격하고 취약점 공격(Exploit) 코드를 자동으로 작성할 수 있는 특화 AI 모델인 ‘Claude Mythos’를 발표하면서 생태계는 엄청난 충격에 휩싸이게 된다. Anthropic은 이 모델의 위험성이 지나치게 높다고 판단하여 일반 대중에게 공개하는 대신, 국가 인프라와 오픈소스 생태계를 보호하기 위해 리눅스 재단(Linux Foundation) 등 제한된 파트너에게만 폐쇄형으로 선공개하는 ‘프로젝트 글래스윙(Project Glasswing)’을 단행한다.
이는 AI가 생성하는 보안 위협이 더 이상 가짜 노이즈가 아닌, 통제해야 할 수준의 실체적 무기로 진화했음을 증명하는 결정적 계기가 된다.
2. Claude Mythos의 실제 성적표와 철옹성 curl 프로젝트의 검증 결과
Claude Mythos의 등장으로 인해 전 세계 오픈소스 메인테이너(Maintainer)들은 긴장감 속에서 자사의 코드를 스캔하기 시작한다.
리눅스 커널의 핵심 개발자인 그렉 크로아-하트먼(Greg Kroah-Hartman)은 최근 한 달 사이 AI가 작성한 고품질의 진짜 보안 리포트가 쏟아지고 있다고 경고했으며, curl의 리드 개발자 다니엘 스텐베르그(Daniel Stenberg) 역시 과거의 쓰레기 리포트와 달리 이제는 정밀 검토가 필요한 진짜 취약점 분석 쓰나미가 몰려오고 있다고 현장의 분위기를 전달했다.
Claude Mythos는 curl 프로젝트의 약 17만 8천 줄에 달하는 C 코드를 정밀 스캔한 뒤, 최종적으로 “확인된 보안 취약점(Confirmed security vulnerabilities) 5개”를 발견했다는 충격적인 보고서를 제출한다.
이에 curl 보안팀은 비상 상황에 돌입하여 수 시간 동안 정밀 교차 검증을 수행하게 된다. 그러나 인간 전문가들이 현미경 검증을 마친 후 나온 최종 결과는 AI의 대대적인 호들갑과는 다소 거리가 있었다는 점에 주목해야 한다.
| 구분 | Mythos의 분석 결과 | curl 보안팀의 최종 검증 실체 |
| 오탐 (False Positive) | 3개 항목 | 이미 API 공식 문서상에 한계점으로 명시되어 있는 정상적인 코드 |
| 일반 버그 (Simple Bug) | 1개 항목 | 코딩 오류는 맞으나 보안상 위협을 가할 수 없는 일반적인 연산 버그 |
| 실제 취약점 (True Vulnerability) | 1개 항목 | 위험도가 낮은 ‘심각도 낮음(Low)’ 수준의 CVE 취약점으로 판명 |
결과적으로 Mythos가 찾아냈다고 주장한 5개의 핵심 취약점 중 실제 보안 위협이 되는 것은 단 1개에 불과했다.
이 취약점 역시 시스템을 마비시킬 만한 치명적인 결함이 아니었으며, 2026년 6월 말로 예정된 curl 8.21.0 정기 릴리스를 통해 패치될 예정으로 정리된다.
결과만 놓고 본다면 Anthropic과 미디어가 떠들었던 “위험할 정도로 강력한 AI”라는 수식어는 다소 과장된 마케팅 기법에 불과하다는 비판을 면하기 어렵다.
3. Firefox에서 증명된 파괴력과 우리가 AI의 경고에 집중해야 하는 이유
curl 프로젝트에서의 초라한 성적표에도 불구하고, 전 세계 엔지니어들이 이를 단순한 해프닝이나 거품으로 넘기지 못하는 이유는 무엇일까? 그것은 바로 각 소프트웨어가 가진 코드의 ‘성숙도’에 따라 AI가 발휘하는 파괴력이 완전히 비대칭적으로 나타나기 때문이다.
curl은 지난 20년이 넘는 시간 동안 전 세계 수십억 대의 기기에서 구동되며 지구상에서 가장 뛰어난 천재 개발자들이 정적 분석기, 수천 시간의 퍼징(Fuzzing) 테스트를 통해 깎고 다듬은 극상의 성숙도를 지닌 코드베이스이다.
이러한 철옹성 같은 코드에서는 AI뿐만 아니라 그 어떤 인간 보안 전문가가 찾아와도 새로운 취약점을 발견하기가 극도로 어렵다는 특수성이 존재한다.
반면, curl 수준의 완벽성을 갖추지 못한 다른 대형 프로젝트에서의 결과는 공포에 가깝다.
Claude Mythos는 동일한 기간 동안 오픈소스 웹 브라우저인 Firefox를 대상으로 분석을 진행하여 무려 271개의 실제 보안 취약점을 찾아내고 이를 수정하는 데 기여하는 압도적인 성과를 올린다. 이는 AI가 가진 분석 능력이 결코 허상이 아님을 보여주는 가장 강력한 증거이다.
만약 Anthropic이 이 모델을 폐쇄형으로 관리하지 않고 오픈소스로 전 세계에 완전 개방했다면, 악의적인 블랙햇 해커들은 Firefox에서 발견된 271개의 구멍을 무기로 전 세계 인터넷 사용자들을 순식간에 유린할 수 있었을 것이다.
시장과 미디어가 호들갑을 떨며 공포 마케팅을 펼치는 본질적인 이유는 지금 당장 눈앞의 기술이 완벽해서가 아니라, 상위 1%의 철옹성을 제외한 나머지 90%의 일반 기업 시스템, 금융망, 국가 인프라 코드가 AI의 비대칭적 공격 능력 앞에 무방비로 노출될 수 있다는 ‘실존적 위험’ 때문이다.