Claude Mythos 5 재배포 승인: 미국 핵심 인프라 100개 기관 한정 배포

사상 초유의 AI 수출 통제, 그리고 15일 만의 반전

Anthropic이 2026년 4월 발표한 Claude Mythos 5는 등장과 동시에 업계를 뒤흔들었다. 회사 스스로 "사이버보안 재앙(cybersecurity catastrophe)" 수준이라고 표현한 이 모델은 기존 AI와 차원이 다른 공격적 사이버보안 능력을 탑재했다.

그러나 출시 두 달이 채 지나지 않은 2026년 6월 12일, 미국 정부는 수출 통제 조치를 발동해 Mythos 5 접근을 전면 차단했다. AI 모델에 대한 직접적 수출 통제 발동이라는 이례적인 사태였다.

그로부터 15일 후인 2026년 6월 27일, 미국 상무부 Howard Lutnick 장관은 서한을 통해 상황을 반전시켰다. "신뢰할 수 있는 특정 파트너에 대한 접근 허용에 적절한 안전장치가 마련되어 있다고 판단했다"는 내용이었다. Anthropic도 같은 날 공식 X 포스트를 통해 "정부와 협력해 Mythos 5 접근을 핵심 인프라를 운영·방어하는 미국 조직에 복원하게 됐다"고 발표했다.

Claude Mythos 5의 사이버보안 능력

Mythos 5가 이토록 긴박한 정책 대응을 이끌어낸 이유는 모델의 실제 능력에 있다.

자율 취약점 발견

Mythos 5는 모든 주요 운영체제(OS)와 웹브라우저에서 수천 건의 고심각도 취약점을 자율적으로 발견할 수 있다. 숙련된 인간 보안 연구원이 수주 또는 수개월을 소요하던 작업을 대폭 단축한다.

익스플로잇 코드 자동 생성

더 주목할 만한 능력은 실제 공격 코드 생성이다. Mythos 5는 1회 시도당 72%의 확률로 작동 가능한 익스플로잇 코드를 생성한다. 발견된 취약점을 이론적 위협이 아닌 실제 공격 도구로 전환할 수 있다는 의미다. 이 두 능력의 조합이 미국 정부가 즉각 수출 통제를 발동한 배경이다.

제한적 배포 전략: 100개 기관, Project Glasswing

이번 재배포 결정은 무조건적 허용이 아니다. 엄격한 심사 프레임워크를 전제로 한 제한적 허용이다.

배포 대상: 미국 핵심 인프라를 운영·방어하는 기관 100개 이상으로 한정된다. 주요 대기업과 정부 기관이 포함되며, 일반 사용자나 단순 기술 기업은 배포 대상에서 제외된다.

Project Glasswing 프레임워크: 재배포는 Project Glasswing 파트너십 내에서 운영된다. AWS, Apple, Microsoft, Google 등 빅테크 기업이 참여하는 이 프레임워크는 모델 접근의 책임성과 보안을 담보하는 거버넌스 구조다.

Claude Fable 5는 여전히 제한: 범용 최강 모델로 알려진 Claude Fable 5는 이번 재배포 결정에서 제외됐다. 정부가 사이버보안 특화 모델과 범용 모델에 서로 다른 기준을 적용하고 있음을 보여준다.

장점과 우려사항

방어 측면의 장점

핵심 인프라를 겨냥한 사이버 공격이 증가하는 현실에서, 수천 건의 취약점을 자율 발견하는 AI는 선제적 방어를 가능하게 한다. Project Glasswing의 구조화된 거버넌스는 무분별한 확산을 막는 안전장치로 기능한다. 또한 미국 정부 심사를 통과한 첫 사례로서 향후 규제 프레임워크의 기준이 될 수 있다.

핵심 우려사항

72% 성공률의 익스플로잇 코드 생성 능력은 유출 시 치명적 결과를 초래한다. 100개 기관에 배포된 후 내부자 위협이나 사이버 침해로 접근권이 유출될 위험을 배제할 수 없다. 미국만의 배포 전략은 동맹국과의 사이버 방어 협력에도 잠재적 제약이 될 수 있다.

전망: 방어적 AI의 이중 사용 딜레마

Claude Mythos 5 사례는 AI 사이버보안 도구의 근본적 딜레마를 드러낸다. 강력한 방어 도구는 필연적으로 강력한 공격 도구이기도 하다. 이를 "이중 사용(dual-use)" 문제라고 부른다.

미국 정부의 접근법은 완전한 금지도, 무제한 허용도 아닌 제3의 길을 시도한다. 신뢰할 수 있는 파트너에게만 접근을 허용하는 방식이다. 이 모델이 성공한다면, 향후 고위험 AI 능력에 대한 정부 규제의 표준 프레임워크로 자리잡을 수 있다.

Fable 5가 여전히 제한 상태라는 점은 정부가 AI 능력 수준에 따른 차등 규제를 검토하고 있음을 시사한다. AI 능력이 계속 발전하면서, 어떤 모델이 규제 대상이 될지에 대한 기준 설정은 기업과 정부 모두의 핵심 과제가 될 것이다.

결론

Claude Mythos 5의 제한적 재배포는 AI 사이버보안 거버넌스 역사의 중요한 이정표다. 회사 스스로 "재앙" 수준이라 표현한 모델이 15일 만에 정부 심사를 통과해 핵심 인프라 방어 목적으로 재배포된 사례는 AI 안전과 국가 안보 사이의 절충이 어떻게 이루어지는지를 보여준다.

이 모델은 국가 핵심 인프라 방어를 담당하는 조직과 고급 사이버보안 역량이 필요한 정부 기관에게 강력한 도구가 될 것이다. 다만 이중 사용 가능성에 대한 우려가 해소되지 않은 만큼, 배포 이후의 거버넌스와 감시 체계가 성공 여부를 좌우할 것이다.