Claude Mythos가 Firefox에서 271개 취약점 발견: AI 보안의 새 시대

핵심 요약

Mozilla가 Anthropic의 Claude Mythos Preview를 사용해 Firefox 150 릴리즈 전에 271개의 보안 취약점을 발견했다. 2026년 4월 22일 출시된 Firefox 150에는 이 모든 결함에 대한 패치가 포함됐다. AI가 보안 취약점 탐색에서 인간 전문가 수준을 달성했다는 사실이 처음으로 대규모로 입증된 사례다.

경과: Claude Opus 4.6에서 Mythos로

이번 협업은 2026년 2월에 시작됐다. Firefox 보안팀이 Claude Opus 4.6을 활용해 약 6,000개 C++ 파일을 스캔한 결과, 112건의 고유 보고서에서 22개의 확인된 보안 버그를 발견했다. 이 결과는 Firefox 148 릴리즈에 반영됐다.

4월에는 Anthropic의 차세대 모델인 Mythos Preview를 투입했다. 결과는 압도적이었다. Mythos는 단 한 번의 평가 과정에서 271개의 코드 결함을 식별했다. 이전 Claude Opus 4.6 대비 12배 이상의 취약점을 찾아낸 것이다.

구체적 발견 사항

Firefox 150의 공식 보안 권고 MFSA 2026-30에는 41개의 CVE 항목이 등록됐다. 가장 위험한 결함으로는 DOM 및 WebRTC 컴포넌트의 use-after-free 취약점이 포함됐다.

공식 CVE 수는 41개지만, 271이라는 숫자는 Mythos가 평가 과정에서 식별한 전체 코드 결함의 수다. 다수는 낮은 심각도의 문제이거나 공개 CVE 기준에 미치지 않는 결함으로, 세 개의 CVE(CVE-2026-6746, CVE-2026-6757, CVE-2026-6758)만이 공식적으로 AI에 귀속됐다.

이전 Claude Opus 4.6 평가에서 발견한 14개의 버그는 높은 심각도로 분류됐으며, 이는 2025년 전체 Firefox 높은 심각도 취약점의 약 5분의 1에 해당한다.

AI 보안 분석의 핵심 특성

Mozilla CTO Bobby Holley는 이번 평가에서 핵심적인 점을 강조했다. Mythos는 소스 코드를 통한 추론으로 취약점을 찾아내는 방식이 최상급 인간 보안 연구자와 동일하다는 것이다.

"퍼저가 찾을 수 없는 버그를 찾는 최상급 보안 연구자들은 소스 코드를 추론함으로써 그 일을 해낸다"고 Mozilla는 밝혔다. 그리고 Mythos가 바로 그 방식을 사용한다.

주목할 만한 점은 AI가 인간이 발견할 수 없는 새로운 유형의 취약점을 만들어내지는 않는다는 것이다. Mozilla는 "인간이 찾을 수 없는 버그 카테고리나 복잡성은 발견하지 못했다"고 밝혔다. AI는 기존 전문성을 증폭시키되, 전혀 새로운 공격 벡터를 창출하지는 않는다.

사이버보안 패러다임 전환

Mozilla는 이번 협업이 사이버보안의 역사적 불균형을 뒤바꿀 수 있다고 주장한다. 전통적으로 공격자는 단 하나의 취약점만 찾으면 되지만 방어자는 모든 취약점을 막아야 했다. 이 비대칭성이 공격자에게 유리하게 작동해왔다.

AI를 활용하면 취약점 발견 비용이 극적으로 낮아진다. Holley는 "방어자가 마침내 결정적으로 이길 기회가 생겼다"고 말했다. 잘 구조화된 소프트웨어에서는 AI가 실질적으로 모든 취약점을 찾아낼 수 있다는 주장이다.

양날의 검: 이중 사용 우려

그러나 이 능력은 방어에만 사용되는 것이 아니다. 영국 AI 안전 연구소는 Mythos가 다단계 네트워크 공격을 자율적으로 실행할 수 있음을 확인했다. 공격자도 동일한 AI를 무기화할 수 있다는 의미다.

Mozilla는 이에 대한 답으로 "방어자가 먼저 이 기술을 적용해야 한다"는 논리를 제시한다. 공격자가 AI를 이용하기 전에 방어자가 먼저 모든 취약점을 제거해두는 전략이다.

전망: AI 기반 보안 스캐닝의 보편화

이번 Mozilla와 Anthropic의 협업은 AI 보조 보안 감사의 가능성을 실질적으로 증명했다. 대규모 오픈소스 프로젝트에서 AI를 활용한 취약점 스캔이 일반화되면, 소프트웨어 보안의 기준선이 전반적으로 상승할 것이다.

동시에 AI 보안 도구의 접근성이 높아지면서 악의적 행위자들도 같은 기술을 사용할 가능성이 증가한다. 보안 업계는 이 경쟁에서 앞서 나가기 위해 AI 도입 속도를 높여야 하는 압박에 직면했다.

결론

Mozilla의 Firefox 150 사례는 AI가 사이버보안 분야에서 인간 전문가를 보조하는 강력한 도구임을 입증했다. 271개 취약점 발견이라는 숫자는 단순한 성과 지표가 아니라, AI 기반 방어 보안의 새로운 시대가 열렸음을 알리는 신호다. 보안 연구자와 기업 모두 이 변화에 주목해야 한다.