사이버 보안은 작업 증명이다: 한 번에 $12,500이 드는 AI 공격

사이버 보안은 기술의 문제가 아니라 컴퓨팅의 문제가 되고 있어요. 영국 AISI 평가에서 Claude Mythos는 32단계 기업 네트워크 공격 시뮬레이션을 10번 시도 중 3번 완료했고, 시도당 비용은 $12,500이었어요. Drew Breunig의 주장은 이래요: 방어자가 자동화된 취약점 발견에 공격자보다 더 많이 투자하지 않으면, 기본적으로 지게 돼요.

영국 AI 보안 연구소(AI Security Institute)는 사이버 보안 과제에 대한 Claude Mythos Preview의 독립 평가를 발표했어요.¹ 핵심 수치는 이래요: Mythos가 32단계 기업 네트워크 공격 시뮬레이션을 10번 중 3번 완료했어요. 전체 체인을 해결한 모델은 다른 곳에 없었어요. 그 다음 날, Drew Breunig가 경제적 추론을 발표했어요: 각 시도에 토큰 비용이 약 $12,500 들었다는 거예요.² 이 두 분석을 합치면, 사이버 보안이 기술의 문제에서 컴퓨팅의 문제로 재정의돼요.

이 함의는 불편해요. Breunig의 프레임워크에서 시스템을 방어하려면 공격자가 공격에 쓸 토큰보다 더 많은 토큰을 취약점 발견에 써야 해요.² 보안은 항상 비대칭적이었어요: 공격자는 하나의 경로만 찾으면 되지만, 방어자는 모든 경로를 막아야 해요. AI 에이전트는 이 비대칭성을 유지하되 축을 바꿔요. 희소한 자원은 더 이상 전문성이 아니에요. 희소한 자원은 컴퓨팅 예산이에요.

AISI가 실제로 측정한 것

평가에는 두 가지 테스트 방식이 사용됐어요: CTF(Capture-the-Flag) 챌린지와 사이버 레인지 시뮬레이션.¹

중요한 사이버 레인지인 “The Last Ones”(TLO)는 32단계 기업 네트워크 공격을 시뮬레이션해요. 사람이 완료하려면 약 20시간이 필요할 것으로 추정돼요.¹ Mythos는 10번 시도 중 3번에서 전체 체인을 완료했어요. 10번의 시도 전체에서 Mythos는 평균 32단계 중 22단계를 완료했어요. 비교하면, Claude Opus 4.6은 같은 레인지에서 평균 16단계를 완료했어요.¹

전문가 수준 CTF 과제에서 Mythos는 73%의 성공률을 기록했어요.¹

토큰 예산도 그 자체로 이야기를 들려줘요. AISI는 비전문가 CTF에 최대 250만 토큰, 전문가 CTF에 5천만 토큰, 사이버 레인지 시뮬레이션에 1억 토큰까지 테스트했어요.¹ 평가에서는 “테스트된 토큰 예산 범위 내에서 모델이 토큰 예산 증가에 따라 계속 진전을 보인다”고 명시하며, 테스트한 1억 토큰 상한선을 “넘어서도 성능 향상이 계속될 것”으로 예상한다고 밝혔어요.¹

토큰이 많을수록 진전도 커요. 정체 현상은 관찰되지 않았어요.

AISI는 발견의 범위를 신중하게 한정했어요. 사이버 레인지에는 능동적 방어자, 방어 도구, 경보 트리거에 대한 패널티가 없었어요.¹ 이 평가는 “취약하고 방어가 약한 기업 시스템”에 적용되며, SOC와 IDS를 갖춘 강화된 프로덕션 환경에는 해당되지 않아요. Mythos는 운영 기술에 초점을 맞춘 “Cooling Tower” 레인지도 실패했어요.¹

이런 주의사항은 중요해요. 하지만 궤적이 더 중요해요. 이전 모델들은 이 레인지에서 전체 체인을 완료하지 못했어요.¹ 이제 한 모델이 32단계 기업 침투를 10번 중 3번 완료하고, 컴퓨팅을 늘리면 성능 곡선이 상승해요. 질문은 AI가 취약하고 방어가 약한 시스템에 침입할 수 있는지가 아니에요(AISI가 가능하다는 걸 보여줬으니까요). 질문은 강화된 환경에 대한 성공률이 자동화가 경제적으로 합리적인 임계점을 언제 넘는가예요.

경제학: 시도당 $12,500

Breunig의 분석은 AISI 결과를 달러로 환산해요.² 시도당 1억 토큰 기준으로, TLO에서의 단일 Mythos 실행 비용은 약 $12,500이에요. TLO 10회 시도 비용은 $125,000이에요.²

이 숫자는 단독으로 보면 커 보여요. 하지만 32단계 기업 네트워크 침해가 방어자에게 끼치는 비용과 비교하면 작아 보여요. 이 모델은 비용의 일부로 30%의 성공률을 달성하고, 필요할 때 바로 실행할 수 있으며, 예산을 늘리면 성공률이 올라가요. 같은 공격 체인을 10번이 아닌 100번 실행하면(정적 타깃에 대한 독립적이고 동일하게 구성된 시도를 가정할 때) 예상 성공 침투 횟수는 3번에서 30번으로 뛰어오르고, 토큰 비용은 약 $125만이에요. 개인 연구자에게는 비싸요. 국가 행위자에게는 반올림 오차 수준이에요.

Breunig의 핵심 주장은 이래요: “시스템을 강화하려면 공격자가 공격에 쓸 토큰보다 더 많은 토큰을 취약점 발견에 써야 합니다.”² 보안은 토큰 예산 경쟁이 돼요. Breunig는 방어자가 자동화된 취약점 발견에 공격자보다 더 많이 지출하지 않으면 기본적으로 패배한다고 주장해요.

그는 세 단계 모델을 제안해요: 개발, 검토, 그리고 강화.² 개발은 시스템을 구축해요. 검토는 알려진 버그 유형을 잡아요. 강화는 새로운 단계예요: 팀이 예산을 소진할 때까지 자율적 취약점 발견을 지속적으로 실행하는 거예요. 시스템의 보안은 배포 전에 팀이 시스템을 깨려고 소진하는 토큰 수의 함수가 돼요.

“영리하다고 점수를 받는 게 아닙니다,” Breunig는 써요. “더 많이 지불해야 이깁니다.”²

Linus의 법칙에 토큰 차원이 추가되다

Breunig는 Linus의 법칙 — “충분한 눈이 있으면 모든 버그는 얕다” — 을 토큰을 포함하도록 확장해요.² 충분한 자동화 검토 주기와 충분한 컴퓨팅 예산이 있으면, 수십 년간 인간 검토가 놓쳤던 취약점이 드러나요.

증거는 이 확장을 뒷받침해요. When Your Agent Finds a Vulnerability에 문서화된 것처럼, Anthropic의 Carlini는 10줄짜리 bash 스크립트와 Claude Code을 사용해 23년 된 Linux 커널 취약점을 발견한 것으로 알려져 있어요.⁴ Project Glasswing에 문서화된 것처럼, Anthropic은 Mythos로 이 접근 방식을 확장해 주요 운영 체제와 브라우저에서 수천 개의 제로데이를 발견했다고 설명해요.⁵ AISI 평가는 이제 기저 역량에 대한 독립적 확인을 제공해요.

Simon Willison은 주목할 만한 관찰을 더해요: AI 기반 보안 검토는 오픈소스 라이브러리의 가치를 높이는데, 보안 확보에 쓰인 토큰이 모든 사용자에게 집단적으로 이익이 되기 때문이에요.³ 독점 코드는 자체 보안 비용을 부담해요. 오픈소스 코드는 전체 사용자 기반에 걸쳐 그 비용을 분산시켜요.

Breunig는 현재 가격의 한 데이터 포인트로 Anthropic의 코드 리뷰 제품을 리뷰당 $15-20로 언급해요.² 그는 또한 의존성 보안 맥락에서 LiteLLM과 Axios 공급망 사고를 인용하는데, 이는 자동화된 검토의 필요성을 강조하는 공급망 취약점의 사례예요.²

공식이 결정화돼요: “코드는 여전히 저렴합니다. 보안이 필요하지 않다면.”² 프로덕션 시스템의 모든 코드 줄은 암묵적인 보안 부채를 지고 있어요. 그 부채는 이전에는 보안 팀의 급여와 수동 검토가 치명적 버그를 잡을 것이라는 확률적 희망 속에 묻혀 보이지 않았어요. 토큰 기반 보안은 그 비용을 명시적이고 측정 가능하게 만들어요.

주의사항이 실제로 의미하는 것

AISI의 주의사항은 무시하지 말고 주의 깊게 읽어야 해요.

능동적 방어자가 없다는 점은 상황을 크게 바꿔요. 모니터링, 경보, 인시던트 대응이 없는 시스템에 대한 32단계 공격 체인은, 인력이 배치된 SOC에 대한 같은 체인과는 근본적으로 다른 문제예요. 실제 기업 네트워크에는 EDR, 네트워크 세그먼테이션, 이상 탐지, 인간 분석가가 있어요. 자동화된 공격자가 트리거하는 모든 경보는 방어 측이 대응할 기회예요.

노이즈에 대한 패널티가 없다는 것은, 인간 공격자라면 피할 무차별 대입 방식을 모델이 시도할 수 있다는 의미예요. 한 시간에 수백 개의 IDS 경보를 트리거하는 실제 적대자는 조사를 받게 돼요. AISI 레인지는 이 피드백 루프를 모델링하지 않았어요. 실제 네트워크에서 노이즈는 공격자에게 비용이에요. 은밀함이 탐색 공간을 제약해요. 그 제약을 제거하면 문제는 엄밀히 더 쉬워져요.

Cooling Tower 실패도 교훈적이에요. Mythos는 IT 중심의 TLO 레인지를 해결했지만 운영 기술 레인지에서는 실패했어요.¹ OT 환경은 프로토콜, 제약 조건, 실패 모드가 달라요. AISI는 모델이 해당 레인지의 IT 부분에서 막혔다고 언급하므로, 이 실패가 반드시 OT 고유 능력의 부족을 나타내는 건 아니지만, 모델의 역량이 도메인 간에 균일하지 않은 건 분명해요. IT 네트워크 침투와 산업 제어 시스템 공격은 다른 문제이며, 이 평가에서 OT 준비성에 대한 결론을 도출하려면 주의가 필요해요.

하지만 주의사항에도 유효 기간이 있어요. 토큰 예산은 늘어나요. 모델 역량은 평가 사이에 향상돼요. 방어되지 않은 네트워크에 대한 30% 성공률은 하한선이지, 상한선이 아니에요. AISI 자체도 테스트한 예산을 넘어서 성능이 향상될 것으로 예상해요.¹ 레인지에 능동적 방어가 없었다는 이유로 결과를 무시하는 방어자는, 추론 스케일링이 자신의 방어에 도달하기 전에 정체될 것이라고 베팅하는 거예요 — 테스트된 범위 내에서 AISI의 자체 데이터가 뒷받침하지 않는 베팅이에요.

실무자를 위한 운영적 함의

프로덕션에서 AI 에이전트를 운영하는 사람이라면(저는 Ralph Loop를 통해 밤새 자율 에이전트를 돌리고 95개의 hooks를 보안 인프라로 활용해요), 작업 증명 프레임워크는 방어에 대한 사고 방식을 바꿔요.

보안 hooks는 최소 투자이지, 충분한 투자가 아니에요. 제 95개의 hooks는 에이전트가 할 수 있는 일을 제한해요: 강제 푸시 차단, 자격 증명 검증, 샌드박스 적용. 이 hooks는 제 자체 에이전트가 피해를 입히는 걸 방지해요. 하지만 에이전트가 상호작용하는 시스템을 1억 토큰을 투입해 탐색하는 외부 공격자에게는 아무 효과도 없어요. Hook 인프라는 필요하지만 충분하지는 않아요.

자동화된 공격 테스트가 필수가 돼요. Breunig의 세 단계 모델(개발, 검토, 강화)은 모든 배포 파이프라인에 AI 에이전트가 시스템을 출시 전에 깨려고 시도하는 적대적 단계가 필요하다는 걸 의미해요. 체크박스식 침투 테스트가 아니에요. 토큰 예산 소진 훈련이에요. 예산이 다 떨어질 때까지 자동화된 취약점 발견을 실행하고, 드러난 것을 수정하고, 반복해요.

Ralph Loop에 이제 보안 추론이 생겨요. 저는 성능 맥락에서 반복적 보안 저하에 대해 썼어요: 모든 테스트를 통과하면서 446배의 속도 저하를 유발하는 에이전트에 대해서요. 보안에도 같은 패턴이 적용돼요. 올바르고, 기능적이고, 잘 테스트된 코드를 작성하는 에이전트도 적대적 자동화 검토에서만 드러나는 미묘한 취약점을 도입할 수 있어요. 해결책은 같아요: 빠진 게이트를 추가하는 거예요. 성능 벤치마크가 성능 회귀를 잡아요. 자동화된 레드팀이 보안 회귀를 잡아요.

오픈소스 의존성에도 토큰 예산이 필요해요. Willison의 집단적 이익에 대한 관찰은 의존성 관리에 직접 적용돼요. 프로덕션 스택의 모든 오픈소스 라이브러리는 누군가로부터 자동화된 보안 검토를 받고 있거나, 받고 있지 않거나 둘 중 하나예요. Breunig는 의존성 보안 맥락에서 LiteLLM과 Axios 공급망 사고를 인용하는데, 널리 사용되는 라이브러리에 취약점이 지속된 사례예요.² 실무자는 새로운 질문으로 의존성 트리를 평가해야 해요: 이 라이브러리의 보안에 누가 토큰을 쓰고 있는가?

불편한 수학

작업 증명 프레임워크는 전문성 기반 모델이 한 번도 하지 못했던 방식으로 보안 경제학을 명시적으로 만들어요. 이전 모델에서 보안 품질은 누구를 고용했고 얼마나 숙련됐는지의 함수였어요. 새로운 모델에서 보안 품질은 자체 시스템을 깨려고 쓰는 토큰 수의 함수예요.

인재는 여전히 중요해요: 누군가는 결과를 해석하고, 수정 우선순위를 정하고, 아키텍처 결정을 내려야 해요. 하지만 발견 단계 — 자동화된 에이전트가 취약점을 표면화하는 단계 — 는 점점 더 컴퓨팅의 문제가 되고 있어요. 그리고 AISI가 테스트한 범위 내에서, 컴퓨팅 문제는 더 많이 지출할 의향이 있는 주체에게 유리해요.

암호화폐의 작업 증명과의 비유는, 완벽하지는 않지만, 교훈적이에요. 비트코인 채굴자는 체인을 보호하기 위해 전기를 소모해요. 방어자는 시스템을 보호하기 위해 토큰을 소모해요. 두 경우 모두, 보안 보증은 지출된 컴퓨팅에 비례해요. 두 경우 모두, 더 많은 컴퓨팅을 쓸 의향이 있는 공격자가 우위를 가져요. 차이점은: 비트코인의 채굴 난이도는 자동으로 조정돼요. 보안 토큰 예산은 어느 정도가 충분한지에 대한 인간의 판단이 필요해요.

자금이 충분한 조직에게 앞으로의 길은 명확해요. 배포 파이프라인에 자율 취약점 발견을 추가해요. 시스템의 위험 프로파일에 비례한 토큰 예산을 설정해요. 예산을 소진해요. 드러난 것을 수정해요. 배포해요.

그 외 모든 사람에게 앞으로의 길은 덜 편해요. 공격자가 공격에 쓸 토큰보다 방어에 더 많은 토큰을 쓸 여유가 없다면, 공유 인프라에 의존해야 해요: 오픈소스 보안 검토, 벤더 제공 스캐닝, 집단 방어. 집단 면역의 보안 버전이에요. 그리고 집단 면역처럼, 충분한 참여자가 기여할 때만 작동해요. 토큰을 환원하지 않으면서 오픈소스 보안 검토에 무임승차하는 전략은, 작동하다가 어느 순간 작동하지 않게 돼요.

AISI 평가는 AI 에이전트가 기업 네트워크 공격을 완료할 수 있음을 보여줬어요. Breunig는 방어가 지출의 문제라고 주장해요. Willison은 방어자가 가진 하나의 구조적 이점을 식별했어요: 공유 인프라가 이를 사용하는 모든 사람에게 비용을 분산시킨다는 거예요.

모든 실무자에게 던져지는 질문은 작업 증명 시스템이 항상 물어온 것과 같아요: 얼마나 많은 컴퓨팅을 태울 의향이 있나요?

FAQ

“사이버 보안은 작업 증명이다”는 무슨 뜻인가요?

이 문구는 사이버 보안을 기술의 문제에서 컴퓨팅의 문제로 재정의해요. 영국 AISI 평가에서 Claude Mythos가 32단계 기업 네트워크 공격을 10번 중 3번 완료했고, 시도당 약 $12,500이 들었어요. 시스템을 방어하려면 이제 공격자가 공격에 쓸 토큰보다 더 많은 토큰을 취약점 발견에 써야 해요. 보안 품질은 배포 전에 자체 시스템을 깨려고 태우는 토큰 수의 함수가 돼요.

Claude Mythos는 사이버 보안 과제에서 어떤 성과를 냈나요?

Mythos는 전체 32단계 “The Last Ones” 기업 네트워크 공격 시뮬레이션을 10번 중 3번 완료했고, 전체 시도에서 평균 32단계 중 22단계를 완료했어요. 전문가 수준 CTF 과제에서는 73%의 성공률을 기록했어요. AISI는 토큰 예산 증가에 따라 성능이 계속 향상되며, 테스트한 1억 토큰 상한선까지 정체가 관찰되지 않았다고 언급했어요.

AISI 평가의 한계는 무엇인가요?

사이버 레인지에는 능동적 방어자, 방어 도구, 경보 트리거에 대한 패널티가 없었어요. 이 평가는 “취약하고 방어가 약한 기업 시스템”에 적용되며, SOC와 IDS를 갖춘 강화된 프로덕션 환경에는 해당되지 않아요. Mythos는 “Cooling Tower” 운영 기술 레인지에서도 실패했어요. 실제 기업 네트워크에는 EDR, 네트워크 세그먼테이션, 이상 탐지, 인간 분석가가 있는데, 이 평가에서는 모델링하지 않았어요.

실무자는 이 결과에 어떻게 대응해야 하나요?

최소 보안 레이어로 PreToolUse hooks를 배포하세요. 토큰 예산 소진 훈련으로 배포 파이프라인에 자율 공격 테스트를 추가하세요. 새로운 질문으로 오픈소스 의존성을 평가하세요: 이 라이브러리의 보안에 누가 토큰을 쓰고 있는가? 작업 증명 프레임워크는 모든 프로덕션 시스템이 배포 전에 AI 에이전트가 깨려고 시도하는 적대적 단계를 필요로 한다는 걸 의미해요.

Citations