사람은 보이지 않는 것을 두려워한다. 귀신이 무서운 이유도 마찬가지다. 예능에서 자주 사용되는 보이지 않는 박스안에 물체 만지기도 비슷하다. 이처럼 공포는 보이고 손에 잡히는 것 보다 보이지 않는게 더 크다.
지난주 엔트로픽이 Mythos를 공개한 뒤 보안 업계가 크게 술렁였다. 공개 직후 여러 매체는 Mythos가 일반 유저에게 공개되지 않았고, 제한된 파트너(회사)들에게만 방어 목적으로 제공된다고 전했다. 국내에서는 사용할 수 도 없는 Mythos를 대비해야 한다는 의견까지 나왔다. 이걸 대비하기 전에 이게 뭔지 알고 실제로 써본 사람이 얼마나 있을까?
불과 얼마 전 Claude Code Security 때도 비슷했다. 2월 엔트로픽이 코드 취약점 탐지 기능을 내놓자, 시장은 마치 모든 보안 제품이 곧바로 대체될 것처럼 반응했고 실제로 여러 보안 관련 주식이 크게 흔들렸다.
시장은 이처럼 손에 잡히고 보이는 제품보다 보이지 않는 가능성에 먼저 반응한다. 아직 손에 쥐어보지 못한 것, 아직 운영 환경에서 굴려보지 못한 것, 아직 실제 사례가 충분히 쌓이지 않은 것이 오히려 더 크게 평가된다. 실체가 희미할수록 상상은 커지고, 상상이 커질수록 공포는 커진다.
실제로 우리가 해결해야 할 문제는 따로 있다. Mythos가 나오던 나오지 않았던 이미 시작된 AI 시대의 보안의 방향이다. 왜냐하면 공격자를 포함한 많은 조직은 Mythos를 아직 써볼 수도 없지만, Opus급 모델과 기존 AI 코딩 도구만으로도 이미 업무 방식이 크게 바뀌고 있기 때문이다. Mythos가 오기 전에도 우리는 이미 충분히 강한 모델을 손에 쥐고 있다.
나는 이미 많은 업무를 LLM 모델에 위임하고 있다. 문서화, 코드 보안 리뷰, 취약점 탐지, 어택 서 페이스 탐지, 업무 자동화, 로그 분석 같은 일들은 더 이상 AI가 언젠가 할 일이 아니라 이미 AI가 하고 있는 일이 됐다. AI는 공격자와 방어자 모두의 생산성이 같이 올라간것은 이미 현실이다.
다시 돌아가서 Claude Code Security가 내 업무 그리고 보안 툴 들을 대체하는 도구인지 이야기해보자. 해당 툴 포함 다른 LLM 기반의 코드 보안 도구들을 써본 입장에서 말하면, 충분히 좋지만 아직까지는 개선해야 할 점과 사람이 개입해야 할 일이 많다는 것이다. 잘하는 모델일수록 더 그럴듯하게 틀릴 수 있고, 코드의 맥락을 길게 이해하는 것처럼 보여도 실제 운영상 제약, 제품의 기능, 조직의 예외 등까지 완전히 이해하지는 못한다. (근데, 대부분의 사람이 잘 할 수 있냐고 물으면 음..). 물론 이런 아쉬운 기능들은 언젠가는 더 좋아질거라 생각하고 AI 보안 도구들을 적극적으로 활용해야 하는 것에는 전적으로 동의한다.
다시 Mythos로 돌아오자면, 보안 업계는 어떤 제품 하나보다도, 앞으로 AI의 활용과 AI가 가지고 올 위협을 대비해야 한다. 그런데 그 질문을 특정 모델 이름 하나에만 집중하면 본질을 놓친다. Mythos는 무서울 수 있다. 하지만 더 무서운건 이미 시작된 변화를 특정 모델의 위협으로만 치부하는 것이다. 앞으로 준비해야 할 것은 보이지 않는 Mythos가 아니라, AI 시대 전체가 만들어낼 보안 위협의 재편이다.
(근데, Mythos 써보고 싶긴 함…)
댓글 남기기