마이크로소프트, 'Claude Mythos Preview 출시 직후' 프런티어 AI 사이버보안 권고 4가지 공개… Anthropic Glasswing·OpenAI Trusted Access·DARPA AICC·GitHub OSS 펀드 명시

마이크로소프트가 5월 1일(현지시각) 'From capability to responsibility' 블로그를 통해 Claude Mythos Preview 발표 직후 프런티어 AI 사이버보안 권고 4가지를 공개했다. 'Cybersecurity is at a turning point'라며 첨단 AI 모델이 취약점 발견을 극적으로 가속화하면서 악용 여지를 동시에 키우고 있다고 진단했다.

마이크로소프트는 이 기술이 신뢰받는 방어자 손에 들어가면 병원·전력망·수도·통신망 같은 중요 인프라의 취약점을 식별·수정하는 데 도움이 될 수 있지만, 무책임하게 공개되거나 보호받지 못하면 같은 능력이 디지털 생태계의 토대를 위협하는 데 악용될 수 있다고 경고했다. AI 시스템 자체가 모델·시스템·데이터·인프라 보호가 필요한 'high-value targets'가 됐다고도 지적했다.

회사는 지난 2년간 'Secure Future Initiative'로 보안 토대를 강화해왔으며, AI를 활용해 취약점 발견·완화를 가속화해왔다고 밝혔다. 보안 분야의 기초 AI 연구에도 투자해왔으며 모델이 실세계 보안 작업에 준비됐는지 평가할 수 있는 오픈소스 산업 벤치마크를 개발해왔다고 덧붙였다. Anthropic의 Project Glasswing, OpenAI의 Trusted Access for Cyber 프로그램과의 파트너십도 거론했다.

첫 번째 권고는 'Reinforce core cybersecurity practices'다. 프런티어 AI가 취약점 발견·대응을 가속화할수록 신속한 패치, 접근 제어, 시스템 회복력 같은 핵심 관행이 더 중요해진다는 것이다. 마이크로소프트는 secure-by-design 제품 라이프사이클, Zero Trust 아키텍처, 다중요소인증(MFA), 최소 권한 접근, 지속적 보안 교육에 대한 투자를 강조했다. 또한 AI 활성 시스템에서 일관된 회복력을 보장하기 위한 기존 사이버보안 프레임워크의 광범위한 채택·조화도 필요하다고 했다.

두 번째 권고는 'Release advanced capabilities responsibly'다. 추론·코딩·에이전틱 능력을 갖춘 프런티어 AI 시스템에서 가장 심각한 보안 리스크는 다단계 추론, 도구 사용, 정찰 등 배포 이전 단계에서 발생한다고 짚었다. 기술적 안전 벤치마크는 중요하지만 엄격한 실세계 테스트 없이는 충분하지 않다고 했다. 마이크로소프트는 Anthropic과의 Project Glasswing이 신뢰받는 방어자가 광범위한 공개 전 통제된 환경에서 첨단 능력을 평가할 수 있는 실용 모델을 제시한다고 평가했다.

OpenAI와 Microsoft는 Trusted Access for Cyber 프로그램으로 협력 중이며, OpenAI의 안전·보안 테스트용 범위 한정 조기 배포를 지원한다고 밝혔다. 책임은 출시로 끝나지 않으며, 프런티어 모델 배포 조직이 신생 악용을 탐지하기에 가장 좋은 위치에 있어 모니터링·완화·위협 정보 공유를 해야 한다고 강조했다. 마이크로소프트는 Frontier Model Forum을 통해 동료들과 사이버 리스크 평가·관리 모범사례를 발전시키고 정보 공유를 가능케 하는 작업을 진행 중이라고 덧붙였다.

세 번째 권고는 'Modernize vulnerability management'다. AI가 취약점 발견 속도와 의미 있는 보안 리스크의 정의 모두를 바꾸고 있으며, 더 빠른 발견은 트리아지·검증·완화가 따라잡을 수 있을 때만 보안을 개선한다는 지적이다. 마이크로소프트는 취약점 관리가 단순 발견 건수 추적에서 실세계 리스크 감축으로 전환되어야 한다고 봤다. 실제 악용 가능한 취약점에 우선순위를 두고, 트리아지·완화 책임을 명확히 할당하며, 사적 협력으로 안전이 향상될 때는 단계적·리스크 기반 공개를 사용해야 한다는 권고다.

네 번째 권고는 'Fix faster: Strengthen and accelerate response and remediation'이다. AI가 취약점 발견을 가속화함에 따라 완화도 보조를 맞춰야 하며, DARPA의 AI Cyber Challenge 같은 이니셔티브가 AI가 오픈소스 소프트웨어의 결함을 찾고 고치는 데 도움이 될 수 있음을 보여준다고 마이크로소프트는 평가했다. 핵심 인프라를 떠받치는 소프트웨어 상당 부분이 보안 역량이 제한된 소규모 팀이나 자원봉사자가 유지하는 오픈소스 컴포넌트에 의존한다고도 지적했다.

마이크로소프트는 GitHub Secure Open Source Fund와 Linux Foundation·Alpha-Omega·OpenSSF를 통한 자체·동료 투자가 메인테이너들이 기존 워크플로와 정합되는 실용적 방식으로 적응할 수 있게 돕고 있다고 밝혔다. 정부는 완화 역량을 핵심 회복력 우선순위로 다뤄야 한다고 권고했다.