미국 재무장관 스콧 베센트와 연방준비제도(Fed) 의장 제롬 파월이 최근 은행 경영진을 소집해 앤트로픽(Anthropic)의 신규 모델 ‘Mythos’를 활용해 취약점 탐지에 나서라고 권유했을 수 있다는 보도가 나왔다. TechCrunch는 블룸버그(복수 보도)를 인용해 이번 주 비공개 회동에서 당국자들이 “Mythos로 보안 취약점(vulnerability)을 찾아내는 테스트”를 금융권에 제안했다고 전했다. 다만, 앤트로픽은 앞서 국방부가 ‘공급망(supply-chain) 위험’으로 지정한 사안과 관련해 행정부를 상대로 법적 분쟁을 진행 중이어서, 정책 신호가 엇갈린다는 해석이 나온다.
당국 권유, 은행들이 실제로 ‘Mythos’를 테스트 중
블룸버그에 따르면, 파월과 베센트는 해당 회동에서 은행 임원들에게 앤트로픽의 Mythos 모델을 활용해 보안 취약점 탐지 목적의 테스트를 수행해보라고 독려한 것으로 알려졌다. 보도 내용에 따르면 초기 협력 파트너로는 JP모건(JPMorgan Chase)만 거론됐지만, 동시에 골드만삭스(Goldman Sachs), 씨티그룹(Citigroup), 뱅크오브아메리카(Bank of America), 모건스탠리(Morgan Stanley) 등 주요 은행들도 Mythos를 시험 중인 것으로 전해졌다.
앤트로픽은 Mythos를 이번 주 공개하면서도, 현재는 접근을 제한하겠다는 입장을 밝혔다. 회사 측 설명에 따르면 Mythos는 보안 전문 모델로 “특정 목적(cybersecurity) 학습”을 거친 것은 아니지만, 취약점 발견 능력이 뛰어나다는 점에서 오히려 접근 통제가 필요하다는 취지다. 이와 관련해 업계에서는 “보안 성능이 과장된 홍보(hype)에 가깝다”는 시각과 “기업 고객 대상 판매 전략의 일환”이라는 관측도 일부 제기된 것으로 전해진다.
국방부 ‘공급망 위험’ 지정과의 긴장 관계
이번 보도가 더욱 이목을 끄는 이유는, 앤트로픽이 이미 행정부와 규제 이슈에 직면해 있기 때문이다. TechCrunch 보도에 따르면, 앤트로픽은 국방부가 자사를 ‘공급망 위험’으로 지정하면서 시작된 갈등을 둘러싸고 트럼프 행정부를 상대로 소송을 진행 중이다. 국방부의 지정은 AI 모델의 정부 사용 방식과 관련해 협상 결렬 이후 이뤄졌다는 맥락이 언급된다.
이런 상황에서 은행권에 대해서는 Mythos 테스트를 권유했다는 신호가 나온다면, 정책과 규제의 일관성에 대한 질문이 제기될 수 있다. 물론 국방부가 문제 삼은 영역(공급망 위험, 정부 조달·운영에서의 통제)과 금융권의 단순 보안 점검 실험 사이에는 차이가 있을 수 있다. 그럼에도 “같은 시기, 같은 기업”을 둘러싼 상반된 메시지가 동시에 흘러나오면 시장에서는 신중한 해석이 뒤따를 수밖에 없다.
‘에이전틱 AI’와 보안…콘퍼런스 분위기와도 맞물린다
한편, 앤트로픽은 최근 AI 산업 행사에서도 화제를 모으고 있었다. TechCrunch는 샌프란시스코에서 열린 HumanX 콘퍼런스 현장 분위기를 전하며, 관계자들이 에이전틱(agentic) AI의 변화와 관련해 가장 많이 언급한 챗봇 이름으로 ‘Claude’를 꼽았다고 보도했다. 다만 Mythos 자체가 곧바로 콘퍼런스 핵심 의제로 다뤄졌다고 단정할 수는 없다.
그럼에도 이번 일련의 흐름은 ‘생성형 AI’가 단순 대화 도구를 넘어 기업의 업무 자동화·보안 검증 영역으로 확장되고 있다는 사실을 상기시킨다. TechCrunch의 AI 용어 해설 기사에서 소개된 것처럼, AI 에이전트는 사용자의 업무를 대신해 여러 단계를 수행하는 도구를 뜻하며, 이런 접근이 확산되면 보안·규정 준수 이슈는 더 자주 정책 이슈로 연결될 가능성이 크다.
금융당국과 기업의 이해관계: 성능은 끌리되, 리스크는 통제해야
금융권은 사이버 공격 표면적이 큰 만큼 보안 자동화 수요가 높다. Mythos가 취약점 탐지에 강점을 보인다면, 은행 입장에서는 이를 활용한 점검 효율을 높일 유인이 분명하다. 동시에 AI 모델이 보안 영역에 쓰일수록 데이터 접근, 모델 사용 범위, 출력의 검증 체계 등 거버넌스가 핵심이 된다.
업계에서는 이번 보도에 대해 “실험(test)”의 성격에 주목할 필요가 있다고 본다. 모델을 도입해 운영 환경에서 사용한다는 의미인지, 혹은 통제된 조건에서 위험을 평가하는 단계인지에 따라 위험도와 규제 대응 방식이 달라질 수 있기 때문이다. 실제로 앤트로픽은 Mythos 접근 제한을 언급해 왔고, 이는 곧바로 무분별한 활용을 막기 위한 장치로 읽힐 수 있다.
무엇을 지켜봐야 하나: 테스트 결과와 규제 메시지의 정렬 여부
향후 관전 포인트는 은행들이 Mythos 테스트에서 어떤 결과를 얻었는지(예: 취약점 탐지 정확도, 거짓 양성/오탐 비율, 운영 반영까지의 시간)와, 그 과정에서 어떤 통제 장치를 마련했는지다. 금융권이 자체적으로 검증 체계를 구축한다면, 보안 도구로서의 활용 가능성은 커질 수 있다.
또 다른 중요한 변수는 규제 당국의 ‘리스크 프레임’이 어떻게 정리되는지다. 국방부의 ‘공급망 위험’ 지정 논리와, 금융권 보안 점검 촉진 논리가 시간이 지나며 같은 방향으로 수렴할지, 아니면 계속 충돌할지 여부가 업계 전반의 신뢰와 도입 속도를 좌우할 전망이다. 영국 금융 규제 당국도 Mythos의 위험을 논의 중이라는 보도(파이낸셜타임스 관련 언급)가 나온 만큼, 이번 사안은 미국을 넘어 국제적인 규제 실험으로 번질 가능성이 있다.
댓글