디스코드 사용자 그룹, 앤스로픽 'Mythos Preview' 무단 접근… Mercor 침해 데이터·계약사 권한 활용, 단순 웹사이트만 제작

와이어드(Wired)가 인용한 블룸버그(Bloomberg) 보도에 따르면, 디스코드(Discord)의 한 아마추어 사용자 그룹이 앤스로픽(Anthropic)의 사이버 보안 특화 AI 도구 'Mythos Preview'에 무단 접근한 것으로 드러났다. 앤스로픽이 출시를 신중히 통제해온 강력한 모델임에도 불구하고, 이들은 'AI 해킹' 없이 비교적 단순한 탐문 방식으로 접근에 성공했다고 와이어드는 전했다.

이 그룹은 AI 트레이닝 스타트업 Mercor의 최근 침해(breach) 사건에서 유출된 데이터를 분석한 뒤, '앤스로픽이 다른 모델에 사용해온 형식(format)에 대한 지식을 바탕으로 모델의 온라인 위치를 추정(an educated guess)'했다고 블룸버그는 전했다. 와이어드는 이 표현을 다수 관측자들이 '웹 URL'을 가리키는 것으로 해석하고 있다고 덧붙였다.

또한 한 인물은 앤스로픽 계약사(Anthropic contracting firm)에서 일한 경력 덕분에 이미 보유하고 있던 다른 앤스로픽 모델 접근 권한을 활용한 것으로 알려졌다. 그 결과 Mythos뿐 아니라 미공개 상태였던 다른 앤스로픽 AI 모델들까지 접근하게 된 것으로 보도됐다.

블룸버그에 따르면, Mythos에 접근한 그룹은 지금까지 이를 단순한 웹사이트(simple websites) 제작 용도로만 사용한 것으로 전해졌다. 와이어드는 이것이 앤스로픽 측의 탐지를 피하기 위한 의도적 결정이라고 설명하며, '세상을 해킹(hack the planet)'하는 시도는 없었다고 덧붙였다.

이번 사건은 새로운 AI 모델이 사이버 보안에 미칠 영향에 대한 논쟁이 한창인 시점에 공개됐다. 같은 주 모질라(Mozilla)는 화요일 Mythos Preview 조기 접근권을 활용해 신규 브라우저 릴리스 파이어폭스(Firefox) 150에서 271개 취약점을 찾아 수정했다고 밝혔다.

한편 와이어드는 같은 주간 보안 뉴스 라운드업에서, 북한(North Korean) 해커 그룹이 악성코드의 '바이브 코딩(vibe coding)'부터 가짜 기업 웹사이트 생성까지 AI를 광범위하게 활용해 3개월 동안 최대 1,200만 달러를 탈취한 것으로 연구자들이 확인했다고 보도했다.

이번 무단 접근 사건은 출시 통제가 적용된 AI 모델조차도 침해 데이터 분석과 내부 계약사 권한이라는 'AI를 거치지 않는' 우회 경로로 노출될 수 있음을 보여준다. 와이어드는 앤스로픽이 출시 통제를 강조해 왔음에도 이러한 접근이 가능했다는 점이 주목된다고 짚었다.