사이버보안이 AI 경쟁의 새로운 전선이 됐습니다.

4월 7일 Anthropic이 Claude Mythos Preview를 발표하며 일반 공개를 보류했습니다.

일주일 뒤인 4월 15일, OpenAI가 GPT-5.4-Cyber를 발표했습니다.

 

두 발표 사이의 일주일이 흥미롭습니다. 

Anthropic이 사이버보안 역량을 AI 경쟁의 핵심 전선으로 올려놓자, 

OpenAI가 바로 같은 전선에서 자신의 답을 내놓은 것입니다.

 

두 모델과 두 전략은 이렇습니다.

Anthropic의 Claude Mythos Preview는 사이버보안 전용 모델이 아닙니다. 

범용 모델인데 사이버보안 역량이 너무 강력해서 제한적으로 운영하는 것입니다. 

Project Glasswing을 통해 Amazon, Apple, Microsoft, Google 등 12개 핵심 파트너와 약 40개 조직에만 접근권을 부여했습니다. 초대 기반의 폐쇄적 구조입니다.

 

OpenAI의 GPT-5.4-Cyber는 반대 방향을 선택했습니다. 

GPT-5.4를 사이버보안 방어 작업에 맞게 파인튜닝한 모델입니다. 

OpenAI는 이것을 '사이버 퍼미시브(Cyber-Permissive)'라고 부릅니다. 

정당한 보안 업무에 대해 일반 모델보다 낮은 거부 경계를 설정한 것입니다. 

핵심 기능 중 하나는 바이너리 역공학(Binary Reverse Engineering)입니다. 

소스코드 없이 컴파일된 소프트웨어를 분석해 취약점과 악성코드 위험을 파악할 수 있습니다.

 

접근 방식도 다릅니다. 

OpenAI는 신원 확인 기반의 계층적 접근 프로그램인 'TAC(Trusted Access for Cyber)'를 통해 수천 명의 검증된 개인 보안 연구자와 수백 개 팀에 접근권을 제공합니다. 

개인은 chatgpt.com/cyber에서 신원을 확인하고, 기업은 OpenAI 담당자를 통해 신청할 수 있습니다. 

TAC는 올해 2월 $1,000만 달러 보안 보조금과 함께 처음 출범했습니다.

Anthropic은 소수의 파트너에게 $1억 달러 크레딧을 제공하는 방식을 선택했고, 

OpenAI는 검증된 다수에게 단계적으로 접근권을 여는 방식을 선택했습니다.

 

두 회사가 공유하는 전제는 하나입니다.

AI의 사이버보안 역량은 이미 공격자에게도 방어자에게도 게임을 바꾸는 수준에 도달했습니다. 그리고 방어자가 먼저 준비해야 한다는 것입니다.

OpenAI는 Codex Security를 통해 오픈소스 생태계에서 이미 3,000개 이상의 심각한 취약점 수정에 기여했고, 1,000개 이상의 오픈소스 프로젝트에 무료 보안 스캐닝을 제공했습니다.

그러나 두 회사가 선택한 방법론은 철학적으로 다릅니다. 

Anthropic은 역량이 너무 강력하기 때문에 극도로 제한된 파트너에게만 맡겨야 한다는 입장입니다. 

OpenAI는 신원 검증을 통한 광범위한 접근이 오히려 더 효과적인 방어를 만든다는 입장입니다. 

정교한 공격자는 어차피 일반 모델을 우회할 수 있으므로 방어자에게 더 넓게 무기를 쥐어주는 것이 낫다는 논리입니다.

 

저는 이 두 접근이 단순한 전략 차이가 아니라고 생각합니다.

Anthropic의 방식은 역량의 위험성에 초점을 맞춥니다. 

아무리 방어 목적이라도 이 도구가 잘못된 손에 들어가면 감당하기 어렵다는 판단입니다.

OpenAI의 방식은 접근의 비대칭성에 초점을 맞춥니다. 

공격자는 이미 비슷한 도구를 갖고 있거나 곧 갖게 될 것이므로 방어자가 더 넓게 준비해야 한다는 판단입니다.

 

두 판단 모두 합리적입니다. 

어느 쪽이 옳은지는 앞으로 이 도구들이 실제로 어떻게 쓰이는지가 말해줄 것입니다.

한 가지는 분명합니다. 

사이버보안은 이제 AI 모델 성능 경쟁의 핵심 전선이 됐습니다. 

그리고 그 전선에서는 모델이 얼마나 강한지에 따라 누가 어떻게 모델을 사용하도록 하는지가 점점 더 중요해지고 있습니다.