← 모든 글

사이버 보안은 작업 증명이다

6분 소요
From the guide: Claude Code Comprehensive Guide

영국 AI 보안 연구소(UK AI Security Institute)가 사이버 보안 과제에 대한 Claude Mythos Preview의 독립 평가를 발표했어요.1 핵심 수치: Mythos가 32단계 기업 네트워크 공격 시뮬레이션을 10회 시도 중 3회 완료했어요. 전체 체인을 해결한 모델은 다른 어떤 것도 없었어요. 다음 날, Drew Breunig가 경제적 결론을 발표했는데, 각 시도에 약 $12,500의 토큰 비용이 들었다고 해요.2 이 두 분석을 함께 보면, 사이버 보안은 기술의 문제에서 컴퓨팅의 문제로 재정의돼요.

이 시사점은 불편해요. 시스템을 방어하려면 공격자가 공격에 쓰는 것보다 더 많은 토큰을 취약점 발견에 써야 해요.2 보안은 항상 비대칭이었어요 — 공격자는 하나의 경로만 찾으면 되지만, 방어자는 모든 경로를 막아야 해요. AI 에이전트는 이 비대칭성을 유지하면서 축을 바꿔요. 희소한 자원은 더 이상 전문성이 아니에요. 희소한 자원은 컴퓨팅 예산이에요.

AISI가 실제로 측정한 것

평가에는 두 가지 테스트 방식이 사용됐어요: CTF(Capture-the-Flag) 챌린지와 사이버 레인지 시뮬레이션.1

중요한 사이버 레인지는 “The Last Ones”(TLO)로, 32단계 기업 네트워크 공격을 시뮬레이션해요. 사람이 완료하려면 약 20시간이 필요할 것으로 추정돼요.1 Mythos는 10회 시도 중 3회에서 전체 체인을 완료했어요. 전체 10회 실행에서 Mythos는 평균 32단계 중 22단계를 완료했어요. 비교하면, Claude Opus 4.6은 같은 레인지에서 평균 16단계였어요.1

전문가 수준 CTF 과제에서 Mythos의 성공률은 73%였어요.1

토큰 예산도 그 자체로 이야기를 들려줘요. AISI는 비전문가 CTF에 최대 250만 토큰, 전문가 CTF에 5,000만 토큰, 사이버 레인지 시뮬레이션에 1억 토큰까지 테스트했어요.1 평가에서는 “테스트한 토큰 예산 범위 전체에서 토큰 예산이 늘어날수록 모델이 계속 진전을 보인다”고 명시했고, AISI는 “테스트한 1억 토큰 한도를 넘어서도 성능 개선이 계속될 것”으로 예상해요.1

토큰이 많을수록 더 많은 진전. 고원 현상은 관찰되지 않았어요.

AISI는 결과의 범위를 신중하게 한정했어요. 사이버 레인지에는 적극적인 방어자, 방어 도구, 알림 트리거에 대한 페널티가 없었어요.1 이 평가는 “약하게 방어되고 취약한 엔터프라이즈 시스템”에 적용되며, SOC와 IDS를 갖춘 강화된 프로덕션 환경에는 해당하지 않아요. Mythos는 운영 기술(OT)에 초점을 맞춘 “Cooling Tower” 레인지도 실패했어요.1

이러한 단서 조건은 중요해요. 하지만 추세가 더 중요해요. 이전 모델은 이 레인지에서 전체 체인을 완료할 수 없었어요.1 이제 한 모델이 10회 중 3회에서 32단계 기업 침투를 완료하고, 성능 곡선은 컴퓨팅에 따라 상승해요. 문제는 AI가 엔터프라이즈 네트워크에 침입할 수 있는지가 아니에요. 문제는 성공률이 자동화가 경제적으로 합리적이 되는 임계점을 언제 넘는지예요.

경제학: 시도당 $12,500

Breunig의 분석은 AISI의 결과를 달러로 환산해요.2 시도당 1억 토큰 기준으로, TLO에서 Mythos 단일 실행 비용은 약 $12,500이에요. TLO 10회 시도 비용은 $125,000이에요.2

이 숫자는 단독으로 보면 크게 들려요. 하지만 32단계 기업 네트워크 침해가 방어자에게 주는 피해와 비교하면 작아요. 모델은 비용의 극히 일부로 30% 성공률을 달성하고, 즉시 실행 가능하며, 성공률은 예산에 따라 향상돼요. 같은 공격 체인을 10회가 아닌 100회 실행하면, 예상 성공 침투 횟수는 3회에서 30회로 — 약 $125만 토큰 비용으로 10배 증가해요. 개인 연구자에게는 비싸요. 국가 행위자에게는 반올림 오차 수준이에요.

Breunig의 핵심 논지: “시스템을 강화하려면 공격자가 공격에 쓰는 것보다 더 많은 토큰을 취약점 발견에 써야 한다.”2 보안은 토큰 예산 경쟁이 돼요. Breunig의 프레임워크에서 방어자는 자동화된 취약점 발견에서 공격자보다 더 많이 써야 하며, 그렇지 않으면 자동으로 지는 거예요.

그는 세 단계 모델을 제안해요: 개발(Development), 검토(Review), 강화(Hardening).2 개발은 시스템을 구축해요. 검토는 알려진 버그 유형을 잡아요. 강화는 새로운 단계로 — 예산이 소진될 때까지 자율적 취약점 발견을 지속적으로 실행해요. 시스템의 보안은 배포 전에 팀이 시스템을 깨뜨리기 위해 얼마나 많은 토큰을 소비하느냐의 함수가 돼요.

“영리하다고 점수를 받는 게 아니다,” Breunig는 썼어요. “더 많이 지불하면 이기는 거다.”2

Linus의 법칙에 토큰 차원이 더해지다

Breunig는 Linus의 법칙 — “충분한 눈이 있으면 모든 버그는 얕다” — 을 토큰까지 확장해요.2 충분한 자동화 검토 사이클과 충분한 컴퓨팅 예산이 있으면, 수십 년간 사람의 검토가 놓친 취약점도 드러나요.

증거가 이 확장을 뒷받침해요. Anthropic에서 Carlini가 수행한 연구 — 제가 에이전트가 취약점을 발견할 때에서 다뤘던 — 에서는 10줄의 bash 스크립트와 Claude Code를 사용해 23년 된 Linux 커널 취약점을 발견했어요. Project Glasswing은 Mythos를 활용해 이 접근법을 확장하여 모든 주요 운영체제와 브라우저에서 수천 개의 제로데이를 발견했어요. AISI 평가는 이제 이 역량에 대한 독립적 확인을 제공해요.

Simon Willison은 주목할 만한 관찰을 덧붙여요: AI 기반 보안 검토는 오픈소스 라이브러리의 가치를 높이는데, 보안에 쓴 토큰이 모든 사용자에게 집합적으로 이익이 되기 때문이에요.3 독점 코드는 자체적으로 보안 비용을 부담해요. 오픈소스 코드는 전체 사용자 기반에 걸쳐 그 비용을 분산시켜요.

Breunig는 Anthropic의 코드 리뷰 제품을 리뷰당 $15-20로 현재 가격의 데이터 포인트로 언급해요.2 그는 또한 의존성 보안의 맥락에서 LiteLLM와 Axios 공급망 사건을 인용해요 — 자동화된 검토의 필요성을 강조하는 공급망 취약점의 사례예요.2

공식이 결정화돼요: “코드는 여전히 저렴하다, 보안이 필요하지 않는 한.”2 프로덕션 시스템의 모든 코드 라인은 암묵적인 보안 부채를 안고 있어요. 이 부채는 이전에는 보안 팀의 급여와 수동 검토가 중요한 버그를 잡을 것이라는 확률적 희망 속에 숨어 있었어요. 토큰 기반 보안은 이 비용을 명시적이고 측정 가능하게 만들어요.

단서 조건이 실제로 의미하는 것

AISI의 단서 조건은 무시가 아니라 신중한 독해가 필요해요.

적극적 방어자 부재는 계산을 크게 바꿔요. 모니터링, 알림, 인시던트 대응이 없는 시스템에 대한 32단계 공격 체인은, 인력이 배치된 SOC에 대한 같은 체인과는 근본적으로 다른 문제예요. 실제 엔터프라이즈 네트워크에는 EDR, 네트워크 세그멘테이션, 이상 탐지, 사람 분석가가 있어요. 자동화된 공격자가 트리거하는 모든 알림은 방어가 대응할 수 있는 기회예요.

노이즈에 대한 페널티 부재는 모델이 사람 공격자라면 피했을 무차별 대입 접근법을 시도할 수 있다는 뜻이에요. 한 시간에 수백 개의 IDS 알림을 트리거하는 실제 적은 조사를 받아요. AISI 레인지는 이 피드백 루프를 모델링하지 않았어요. 실제 네트워크에서 노이즈는 공격자에게 비용이에요. 은밀함이 탐색 공간을 제약해요. 이 제약을 제거하면 문제는 순전히 더 쉬워져요.

Cooling Tower 실패도 교훈적이에요. Mythos는 IT 중심의 TLO 레인지를 해결했지만 운영 기술 레인지에서는 실패했어요.1 OT 환경은 프로토콜, 제약, 장애 모드가 다 달라요. AISI는 모델이 해당 레인지의 IT 부분에서 막혔다고 지적하므로, 이 실패가 반드시 OT 특화 능력의 부족을 나타내지는 않아요 — 하지만 모델의 역량이 도메인 전반에 걸쳐 균일하지 않은 것은 분명해요. IT 네트워크 침투와 산업 제어 시스템 공격은 다른 문제이며, 이 평가에서 OT 준비도에 대한 결론을 도출하려면 주의가 필요해요.

하지만 단서 조건에도 유효기한이 있어요. 토큰 예산은 확장돼요. 모델 역량은 평가 사이에 향상돼요. 비방어 네트워크에 대한 30% 성공률은 하한선이지 상한선이 아니에요. AISI 자체가 테스트한 예산을 넘어서도 성능이 향상될 것으로 예상해요.1 레인지에 적극적 방어가 없었다는 이유로 결과를 무시하는 방어자는 추론을 위한 무어의 법칙에 반대 베팅을 하는 거예요.

실무자를 위한 운영 시사점

프로덕션에서 AI 에이전트를 운영하는 사람이라면 — 저는 Ralph Loop를 통해 자율 에이전트를 야간에 실행하고 95개 훅을 보안 인프라로 사용해요 — 작업 증명 프레임워크는 방어에 대한 사고방식을 바꿔요.

보안 훅은 최소한의 지출이지, 충분한 것이 아니에요. 제 95개 훅은 에이전트가 할 수 있는 것을 제어해요: 강제 푸시 차단, 자격 증명 검증, 샌드박스 강제 적용. 이 훅들은 제 에이전트가 피해를 일으키는 것을 방지해요. 하지만 에이전트가 상호작용하는 시스템을 1억 토큰으로 탐색하는 외부 공격자에게는 아무런 도움이 되지 않아요. 훅 인프라는 필요하지만 충분하지 않아요.

자동화된 공격적 테스트가 필수가 돼요. Breunig의 세 단계 모델 — 개발, 검토, 강화 — 은 모든 배포 파이프라인에 시스템이 출시되기 전에 AI 에이전트가 시스템을 깨뜨리려는 적대적 단계가 필요하다는 걸 의미해요. 체크박스식 침투 테스트가 아니에요. 토큰 예산 소진 훈련이에요. 예산이 바닥날 때까지 자동화된 취약점 발견을 실행하고, 발견된 것을 수정하고, 반복해요.

Ralph Loop에 이제 보안 대응물이 생겼어요. 저는 성능 맥락에서 반복적 보안 저하에 대해 썼어요 — 모든 테스트를 통과하면서 446배 느려지는 에이전트. 같은 패턴이 보안에도 적용돼요. 정확하고, 기능적이며, 잘 테스트된 코드를 쓰는 에이전트가 적대적 자동화 검토에서만 드러나는 미묘한 취약점을 도입할 수 있어요. 해결책은 같아요: 누락된 게이트를 추가하는 거예요. 성능 벤치마크가 성능 퇴행을 잡아요. 자동화된 레드팀이 보안 퇴행을 잡아요.

오픈소스 의존성에도 토큰 예산이 필요해요. Willison의 집합적 이익에 대한 관찰은 의존성 관리에 직접 적용돼요. 프로덕션 스택의 모든 오픈소스 라이브러리는 누군가로부터 자동화된 보안 검토를 받고 있거나, 받지 않고 있거나 둘 중 하나예요. Breunig는 의존성 보안의 맥락에서 LiteLLM와 Axios 공급망 사건을 인용해요 — 널리 사용되는 라이브러리에 취약점이 지속됐던 사례예요.2 실무자는 새로운 질문으로 의존성 트리를 평가해야 해요: 이 라이브러리의 보안에 누가 토큰을 쓰고 있는가?

불편한 수학

작업 증명 프레임워크는 전문성 기반 모델이 결코 하지 못했던 방식으로 보안 경제학을 명시적으로 만들어요. 기존 모델에서 보안 품질은 누구를 고용하고 그들이 얼마나 숙련됐는지의 함수였어요. 새로운 모델에서 보안 품질은 자신의 시스템을 깨뜨리기 위해 얼마나 많은 토큰을 쓰느냐의 함수예요.

인재는 여전히 중요해요 — 누군가는 결과를 해석하고, 수정 우선순위를 정하고, 아키텍처 결정을 내려야 해요. 하지만 취약점이 발견되는 발견 단계는 점점 더 컴퓨팅 문제가 되고 있어요. 그리고 컴퓨팅 문제에는 알려진 속성이 있어요: 더 큰 예산을 가진 주체가 이겨요.

암호화폐 작업 증명과의 병행은, 완벽하진 않지만, 교훈적이에요. 비트코인 채굴자는 체인을 보호하기 위해 전기를 소비해요. 방어자는 시스템을 보호하기 위해 토큰을 소비해요. 두 경우 모두 보안 보증은 소비한 컴퓨팅에 비례해요. 두 경우 모두 더 큰 예산을 가진 공격자가 방어를 압도할 수 있어요. 차이점: 비트코인 채굴 난이도는 자동으로 조정돼요. 보안 토큰 예산은 얼마가 충분한지에 대한 사람의 판단이 필요해요.

자금이 풍부한 조직에게 앞으로의 길은 명확해요. 배포 파이프라인에 자율적 취약점 발견을 추가하세요. 시스템의 위험 프로필에 비례하는 토큰 예산을 설정하세요. 예산을 소진하세요. 발견된 것을 수정하세요. 출시하세요.

그 외 모든 이에게 앞으로의 길은 덜 편안해요. 공격자가 공격에 쓸 것보다 더 많은 토큰을 방어에 쓸 여유가 없다면, 공유 인프라에 의존해야 해요 — 오픈소스 보안 검토, 벤더 제공 스캐닝, 집합 방어. 보안 버전의 집단 면역이에요. 그리고 집단 면역처럼, 충분한 참여자가 기여해야만 작동해요. 토큰을 돌려주지 않고 오픈소스 보안 검토에 무임승차하는 전략은, 작동하다가 작동하지 않을 때까지만 작동해요.

AISI 평가는 AI 에이전트가 기업 네트워크 공격을 완료할 수 있음을 보여줬어요. Breunig는 방어가 지출 문제라고 주장해요. Willison은 방어자가 가진 하나의 구조적 이점을 식별했어요: 공유 인프라가 모든 사용자에게 비용을 분산시킨다는 것.

모든 실무자에게 던져지는 질문은 작업 증명 시스템이 항상 물어왔던 것과 같아요: 얼마나 많은 컴퓨팅을 소비할 준비가 돼 있나요?

인용

  1. UK AI Security Institute, “Our Evaluation of Claude Mythos Preview’s Cyber Capabilities,” aisi.gov.uk, April 13, 2026. 

  2. Drew Breunig, “Cybersecurity Looks Like Proof of Work Now,” dbreunig.com, April 14, 2026. 

  3. Simon Willison, “Cybersecurity Looks Like Proof of Work Now,” simonwillison.net, April 14, 2026. 

관련 게시물

MCP Servers Are the New Attack Surface

50 MCP vulnerabilities. 30 CVEs in 60 days. 13 critical. The attack surface nobody is auditing.

8 분 소요

The Ralph Loop: How I Run Autonomous AI Agents Overnight

I built an autonomous agent system with stop hooks, spawn budgets, and filesystem memory. Here are the failures and what…

8 분 소요