27년 된 보안 버그, AI가 50달러에 잡았다

OpenBSD TCP 스택에 27년간 숨어 있던 취약점을 Anthropic의 Claude Mythos Preview가 단독으로 찾아냈다. 단일 모델 실행 비용 50달러 미만. 보안 감사 시장의 가격 기준선이 흔들리기 시작했다.

두 개의 패킷으로 서버 전체를 다운시키는 버그, 왜 27년간 몰랐나

해당 취약점은 두 개의 패킷만으로 OpenBSD 서버 전체를 크래시시킬 수 있는 결함이다. OpenBSD는 '가장 보안이 강화된 플랫폼'으로 정평난 시스템이다. 그런데 인간 감사자도, 퍼저(fuzzer)도 27년 동안 이 버그를 발견하지 못했다.

Anthropic이 진행한 단일 발견 캠페인의 전체 비용은 약 2만 달러였다. 그 캠페인에서 이 버그를 실제로 잡아낸 단일 모델 실행 비용은 50달러 미만이었다. 초기 설정 이후 인간의 추가 개입은 없었다. Claude Mythos Preview가 자율적으로 탐지를 완료했다.

기존 보안 감사는 코드 경로를 반복 탐색하는 데 속도와 인력 비용이 병목이었다. 고급 보안 인력 한 시간 비용에도 못 미치는 50달러라는 수치는, 이 병목이 어디서부터 무너지기 시작하는지를 보여주는 신호다.

Mythos는 지금 누구나 쓸 수 있나, 빌더에게는 어떤 의미인가

현재 Claude Mythos는 'Preview' 단계다. 범용 Claude와는 별도로 출시된 보안 특화 모델이며, 상용 제품으로 일반 공개된 상태는 아니다.

그럼에도 이 사례가 중요한 이유는 두 가지다. 첫째, 보안 감사를 도구로 쓰는 빌더나 스타트업 입장에서 '전문 보안 감사 비용'의 기준선 자체가 바뀌고 있다는 것. 둘째, Anthropic이 범용 모델과 도메인 특화 에이전트를 분리하는 전략을 본격화하고 있다는 것 — 앞으로 유사한 특화 모델이 순차적으로 등장할 가능성이 높다.

보안 분야에서 일하거나 공부 중인 사람이라면, 'AI가 내 일을 빼앗는다'가 아니라 'AI를 운용하는 사람이 같은 시간에 더 많은 범위를 커버할 수 있다'는 쪽으로 읽는 것이 현재 상황에 더 가깝다.