Cloudflare가 공개한 "Mythos" - 사이버보안 영역에서 AI 모델은 어디까지 왔나

방어자의 입장에서 AI를 본다는 것

Cloudflare가 최근 "Project Glasswing"이라는 연구 프로젝트의 일부로 "Mythos"라는 사이버보안 특화 프론티어 모델 실험 결과를 공개했어요. 이게 왜 중요하냐면, 지금까지 AI와 보안 이야기는 대부분 "공격자가 AI로 더 정교한 피싱을 만들 수 있다", "악성코드를 자동으로 생성한다" 같은 위협 중심이었거든요. 그런데 Cloudflare는 방어자 입장에서, 그것도 글로벌 인프라를 운영하는 회사 입장에서 이 문제를 정면으로 다루기 시작한 거예요.

프론티어 모델이 뭐예요?

프론티어 모델(frontier model)이 뭐냐면, 그 시점에 존재하는 가장 앞선 성능의 대형 언어 모델을 말해요. GPT-5, Claude Opus 4, Gemini Ultra 같은 모델들이 여기 속하죠. 이런 모델들은 일반적인 코딩, 추론, 글쓰기를 잘하는데, 동시에 보안 영역에서도 점점 더 위험한 능력을 보이고 있어요. 취약점을 찾아내고, 익스플로잇 코드를 짜고, 표적의 환경에 맞게 공격을 조정하는 능력 같은 거요.

Cloudflare의 Mythos는 이런 위험 능력을 측정하고 이해하기 위한 평가용 모델, 또는 그 평가 체계로 보여요. 한마디로 "AI가 진짜 해커처럼 행동할 수 있는 단계에 얼마나 가까이 왔는가"를 정량적으로 측정하려는 시도인 거예요.

무엇을 측정하나

사이버보안 AI 평가에서 일반적으로 보는 능력은 몇 가지로 나뉘어요. 첫째는 취약점 발견(vulnerability discovery)이에요. 코드를 주면 거기서 SQL 인젝션, 버퍼 오버플로우, 권한 우회 같은 결함을 찾아낼 수 있는가. 둘째는 익스플로잇 작성이에요. 발견한 취약점을 실제로 동작하는 공격 코드로 옮길 수 있는가. 셋째는 자율적인 침투 시나리오예요. 정찰부터 권한 상승, 측면 이동까지 단계를 스스로 계획하고 실행할 수 있는가.

특히 마지막 단계가 진짜 무서운 부분이에요. CTF(Capture The Flag, 보안 대회) 챌린지를 푸는 정도면 "똑똑한 도구"인데, AWS 환경에서 자율적으로 정찰하고 권한 상승까지 시도하는 단계로 가면 이건 "자율적인 공격자"에 가까워지거든요.

업계 흐름에서의 위치

AI의 사이버 능력을 평가하는 시도는 이미 여러 곳에서 진행 중이에요. OpenAI는 자사 모델의 위험 평가에 사이버 항목을 포함시키고 있고, Anthropic은 Responsible Scaling Policy에서 사이버 능력의 임계점을 정의해뒀어요. 영국의 AISI와 미국의 AISI도 모델들의 사이버 능력을 체계적으로 측정하는 벤치마크를 만들고 있고요. Google DeepMind의 보안 연구팀도 비슷한 작업을 하고 있어요.

Cloudflare가 이 흐름에 합류한 게 의미 있는 이유는, 이들이 단순히 모델을 만드는 회사가 아니라 "매일 수십억 개의 공격을 막아내는 방어 인프라"를 운영하는 회사이기 때문이에요. 실제 공격 트래픽을 보유하고 있고, 그걸로 모델을 평가하면 학문적 벤치마크보다 훨씬 현실적인 결과가 나올 수 있거든요.

한국 개발자에게 주는 시사점

실무적으로는 두 가지 방향이 있어요. 하나는 방어 측면에서 AI 활용을 진지하게 검토할 시점이라는 거예요. 코드 리뷰 단계에서 LLM에게 보안 검토를 시키거나, 로그 이상 탐지에 AI를 결합하는 시도가 이미 실용 단계에 들어왔거든요. SOC(보안 관제 센터) 인력이 부족한 한국 환경에서는 특히 도움이 될 수 있어요.

다른 하나는 "공격자도 AI를 쓰고 있다"는 전제를 보안 모델에 반영해야 한다는 거예요. 예전엔 자동화된 스캔이 단순했지만, 이제는 LLM이 우리 서비스의 비즈니스 로직까지 이해하고 그에 맞춰 공격 시나리오를 짜는 시대가 다가오고 있어요. 인증 로직, 권한 체크, 입력 검증을 "사람이 봐도 자연스러운 우회 시도"까지 가정하고 설계해야 해요.

한 줄 정리

AI의 사이버 능력은 더 이상 가설이 아니라 측정 가능한 위협이자 도구가 됐고, Cloudflare 같은 인프라 기업이 이걸 정면으로 다루기 시작했다는 게 신호예요. 여러분 팀은 AI를 보안 업무에 어떻게 활용하고 계신가요, 아니면 아직 "위협 모니터링" 단계에 머물러 계신가요?