Claude Mythos와 Capybara의 등장, 차세대 AI 사이버 보안 위협 분석 및 대응 전략

* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.

 

최근 Anthropic에서 유출된 초안을 통해 차세대 모델인 'Claude Mythos'와 'Capybara'의 존재가 드러났다.

이번 이슈는 AI가 사이버 보안의 공격과 방어의 체계에 중요한 변곡점이 될 것 같다. 

1. 보안 위협의 단계적 변화

앤트로픽은 이 모델들이 추론, 코딩, 그리고 특히 사이버 보안 분야에서 의미 있는 진보를 이룬 범용 모델이라고 평가하고 있다

- 방어자의 대응 속도를 훨씬 앞지르는 속도로 취약점을 식별하고 익스플로잇 할 수 있는 모델의 등장할 가능성이 높아짐

- 앤트로픽 측에서도 이 모델이 초래할 단기적 보안 리스크를 파악하기 위해 배포 전 극도로 주의를 기울이는 중 

2. 변화하는 위협 지형(Threat Landscape)

이 모델 자체의 등장도 충격적일 수 있지만 에이전틱 AI와 비인간 식별자(NHI, Non-Human Identity)가 폭증할 가능성

- 2028년까지 기업용 앱의 33%가 에이전트형 AI를 포함할 것으로 예측할 수 있다

- DevOps 환경에서 봇, 서비스 계정과 같은 비인간 식별자가 인간 사용자의 45배

- 기업의 60%가 이러한 NHI를 보호할 능력이 부족하고 스스로 평가한다. RSAC 2026에서도 AI가 변화시킬 위협 환경이 최대 화두. 신뢰의 공백이 발생할 수 있다

3. AI 기반 공격에 대응하는 핵심 방어 전략

AI를 활용한 정교한 피싱, 소셜 엔지니어링, 자격 증명 탈취를 막기 위해서는 강력한 Identity 중심 보안이 필수

- AI 기반 피싱의 목표인 비밀번호 자체를 제거하여 passwordless 인증 도입, 공격 표면(Attack Surface)을 최소화

- 단순히 로그인 시점뿐만 아니라, 사용자 신호를 실시간으로 평가하여 고위험 상황에서 Step-up 인증이나 근거리 검증을 요구해야 함(동적 인증 프로세스)

- 딥페이크와 AI 에이전트를 이용한 사회 공학적 공격에 대비해, 사용자와 헬프데스크 간 서로의 신원을 상호 검증하는 양방향 신원 검증 메커니즘이 필요

- 공격자의 권한 상승과 측면 이동(Lateral Movement)을 차단하기 위해 최소 권한 원칙과 Zero Trust를 적용해야 함. 고도화된 IGA(Identity Governance & Administration)로 볼 수 있음

4. 안전한 엔터프라이즈 AI 도입을 위한 가이드라인

AI를 방어 도구로 쓰기 위해선 우선 우리 내부의 AI부터 안전하게 관리해야 해.

- 모든 AI 서비스와 봇을 인간 사용자와 동일한 수준의 제어, 권한 부여, 감시 하에 두어야 함(하드코딩된 패스워드 사용 금지). 즉, 에이전트를 하나의 identity로 취급해야함

- 직원들이 승인되지 않은 AI 서비스(Shadow AI)를 사용하여 PII(개인정보)나 기밀 데이터가 유출되지 않도록 명확한 정책을 수립하고 소통해야 한다. 

- 방대한 식별자 데이터를 관리하기 위해 역설적으로 AI의 분석 능력을 빌려야 함. AI 기반의 IGA를 구축해 복잡한 데이터를 가시화하고 위험 우선순위를 결정하는 지능형 제어가 필요함.

- 보안 요건이 까다로운 조직은 소버린 클라우드나 온프레미스, 에어갭(Air-gapped) 환경에서 IAM 역량을 유지하여 데이터의 거처와 접근 권한을 완전히 통제하도록, 데이터 주권을 확보해야한다.

 

 

https://www.rsa.com/resources/blog/zero-trust/claude-mythos-and-capybara-best-practices-for-the-next-evolution-in-ai-powered-cybersecurity-risks/

Claude Mythos and Capybara: Best Practices for The Next Evolution in AI-Powered Cybersecurity Risks