Claude Mythos, 정말 역대급일까요?
유출 문서가 숨긴 것들
2026년 3월 26일, Fortune이 단독 보도하며 AI 업계를 뒤흔든 사건. 앤트로픽의 CMS 설정 오류 하나로 약 3,000건의 미공개 문서가 외부에 노출됐습니다. 그 안에 담긴 내용은 단순한 신모델 예고가 아니었습니다. Anthropic이 스스로 “전례 없는 사이버보안 위험”이라고 경고한 AI, Claude Mythos의 존재가 세상에 드러났습니다.
보도: Fortune 독점
보안주 -4.5~9%
무슨 일이 벌어졌나 — 3,000건 유출의 전모
2026년 3월 26일(현지 시각), Fortune의 Bea Nolan 기자가 단독 보도를 냈습니다. 앤트로픽의 CMS(콘텐츠 관리 시스템)에서 설정 오류가 발생해, 아직 발표되지 않은 블로그 초안과 내부 문서 약 3,000건이 공개 검색 가능한 URL에 노출된 것입니다.
(출처: Fortune 독점 보도, 2026.03.26)
이 사실을 먼저 발견한 사람은 LayerX Security의 시니어 AI 보안 연구원 Roy Paz와 케임브리지 대학교 사이버보안 연구원 Alexandre Pauwels였습니다. Fortune의 요청으로 유출 범위를 검토한 Pauwels는 약 3,000개의 링크가 공개 상태였음을 확인했습니다.
앤트로픽은 Fortune으로부터 연락을 받은 2026년 3월 27일 목요일 저녁, 해당 데이터 저장소의 외부 접근을 차단했습니다. 공식 입장은 “CMS 외부 툴 설정의 인적 오류(human error)로 인한 초안 노출”이었고, “Claude, Cowork, 어떤 Anthropic AI 도구와도 무관한 사안”이라고 선을 그었습니다.
💡 공식 발표문과 실제 유출 규모를 같이 놓고 보니, “단순 설정 오류”라는 설명과 3,000건이라는 숫자 사이의 간극이 눈에 띕니다. CMS의 기본값이 “공개(public)”로 설정된 구조가 오류를 증폭시켰습니다.
Claude Mythos란 무엇인가 — Opus 위에 새 등급
유출된 초안 블로그 게시물에는 Claude Mythos라는 이름과 함께, 내부 코드명 Capybara가 등장합니다. 초안은 이 모델을 “지금까지 개발한 것 중 단연 가장 강력한 AI 모델(by far the most powerful AI model we’ve ever developed)”이라고 표현했습니다. (출처: Fortune 독점 보도, 2026.03.26)
기존 등급 체계를 넘어서는 새 티어
현재 앤트로픽의 모델 라인업은 Opus(최상위) → Sonnet(중간) → Haiku(경량)입니다. 유출된 문서에는 Capybara를 “Opus보다 더 크고 더 지능적인 완전히 새로운 최상위 등급(a new tier of model: larger and more intelligent than our Opus models)”으로 소개하면서, 가격도 더 비싸다고 명시했습니다.
| 등급 | 특징 | 공개 상태 |
|---|---|---|
| Capybara (Mythos) | Opus 상위 신규 티어 | 테스트 중, 미출시 |
| Opus 4.6 | 현 최상위 | 출시됨 |
| Sonnet 4.6 | 중간급 | 출시됨 |
| Haiku 4.5 | 경량 | 출시됨 |
앤트로픽 대변인은 Fortune에 보낸 공식 입장에서 “추론, 코딩, 사이버보안 분야에서 의미 있는 진전을 보이는 범용 모델을 개발 중이며, 역량의 강점을 감안해 출시 방식을 신중히 검토하고 있다”고 밝혔습니다. 현재 소규모 얼리액세스 고객을 대상으로 테스트 중이며, 운영 비용이 높아 일반 출시까지는 시간이 걸릴 전망입니다.
앤트로픽이 “위험하다”고 스스로 쓴 이유
이번 유출에서 단순한 성능 발표보다 더 주목을 끈 부분은 따로 있었습니다. 바로 앤트로픽 내부 문서가 Claude Mythos를 가리켜 “전례 없는 사이버보안 위험(unprecedented cybersecurity risks)”이라고 직접 경고한 대목입니다. (출처: Fortune 독점 보도 원문, 2026.03.26)
초안에는 “현재 다른 어떤 AI 모델보다 사이버 역량에서 훨씬 앞서 있으며, 방어자의 노력을 훌쩍 뛰어넘는 방식으로 취약점을 악용할 수 있는 모델의 다음 물결을 예고한다”고 적혀 있었습니다.
💡 “가장 강력한 AI”를 만드는 회사가 스스로 “전례 없는 위험”이라고 쓴다는 건 홍보 문구가 아닙니다. 이는 뒤에서 설명할 ASL-4 안전 기준과 맞물려 있는 구조적 문제입니다.
얼리액세스 전략이 방어자 먼저인 이유
앤트로픽이 공개한 롤아웃 전략은 특이했습니다. 일반 공개 전에 사이버 방어 조직들에게 먼저 모델 접근권을 줘서, AI 기반 공격에 대비할 시간을 주겠다는 것입니다. 초안에는 “다가오는 AI 기반 익스플로잇의 물결에 대비해 코드베이스 강건성을 높일 수 있도록 조직에 얼리액세스를 제공한다”고 나와 있습니다. 이 전략은 기존 AI 출시 관행과 완전히 다릅니다. 성능을 먼저 공개하는 게 아니라, 방어 준비 상태를 먼저 확보하는 순서입니다.
GPT-5.3-Codex와의 공통 분모
이미 2026년 2월, OpenAI가 GPT-5.3-Codex를 출시하며 “사이버보안 관련 고위험 역량”을 가진 첫 번째 모델로 분류했습니다. (출처: Fortune, 2026.02.05) 앤트로픽도 Opus 4.6 출시 당시 “알려지지 않은 취약점을 발견할 수 있는 이중 사용 역량”을 인정했습니다. (출처: Fortune, 2026.02.06) Mythos는 그 연장선에서 한 단계 더 올라선 모델입니다.
RSP v3.0 발표 30일 후 유출된 타이밍의 의미
💡 RSP v3.0 원문과 유출 시점을 같이 놓고 보면, 정책 변화의 방향과 모델 개발의 속도가 서로 어떻게 맞물리는지 보입니다.
앤트로픽이 Responsible Scaling Policy v3.0을 공식 발표한 날은 2026년 2월 24일입니다. (출처: Anthropic 공식 RSP 페이지, 2026.02.24) 그로부터 딱 30일 후인 2026년 3월 26일에 Mythos 유출이 터졌습니다.
RSP v3.0의 핵심 변경 내용 중 가장 논쟁적인 부분은 이것입니다. 이전 버전(v2.x)에는 특정 위험 임계값에 도달하면 모델 출시를 일시 중단(pause)한다는 조항이 있었습니다. RSP v3.0은 그 조항을 삭제하고, 대신 “Frontier Safety Roadmap”과 “Risk Report” 공개라는 투명성 강화 방식으로 대체했습니다.
(출처: Anthropic RSP v3.0 전문, 2026.02.24)
ASL-4 기준이 아직 없다는 것이 왜 중요한가
RSP v3.0 원문에는 이 문장이 명시적으로 등장합니다. “초기 ASL(2, 3)은 상세히 정의했지만, 더 높은 수준의 ASL(4 이상)은 몇 세대 더 진전된 모델에 필요한 것들이라 의도적으로 미정의 상태로 남겼다(intentionally left largely undefined).” 즉, Mythos가 사실상 ASL-4 수준의 역량을 가지고 있다고 앤트로픽 스스로 암시하는 상황에서, ASL-4 안전 기준은 아직 정의조차 안 돼 있는 상태입니다.
AI Advances의 분석에 따르면, RSP v3.0은 Mythos 유출 30일 전 발표됐고, 그 핵심 변경이 “일시 중단 조항 삭제”였다는 점에서 타이밍이 단순한 우연으로 보기 어렵습니다. (출처: AI Advances 분석, 2026.03.29) ASL-4가 아직 정의되지 않은 상태에서, 이를 적용받아야 할 모델이 개발 완료 단계에 있다는 구조적 공백이 생긴 것입니다.
사이버보안 주식이 빠진 진짜 이유
Mythos 유출 소식이 퍼지자 당일 사이버보안 관련 주식들이 일제히 하락했습니다. CrowdStrike, Palo Alto, Zscaler, SentinelOne, Okta, Tenable 등 주요 종목이 4.5~9% 하락했습니다. (출처: AI Advances 분석, 2026.03.29 / Yahoo Finance, 2026.03.29)
💡 시장이 “AI가 해킹 도구가 됐다”에 반응한 게 아닙니다. “AI가 기존 보안 솔루션을 대체할 수 있다”는 공포가 작동한 것입니다. 이 둘은 전혀 다른 시나리오입니다.
앤트로픽은 이미 2026년 2월 Claude Code Security를 출시하면서 소프트웨어 취약점을 자율적으로 탐색하는 AI 도구를 시장에 내놨습니다. 당시에도 전통 보안 기업 주가가 출렁였습니다. Wedbush Securities의 Dan Ives 애널리스트는 “Claude가 기존 보안 업체를 대체하는 게 아니라, 사이버보안이 AI 혁명의 다음 프런티어가 됐다는 걸 증명하는 것”이라고 분석했습니다.
Mythos 유출이 시장에 던진 신호는 더 직접적입니다. AI가 보안 전문가 수준을 넘어 취약점을 찾아내는 시대가 예고되면, 기존 레거시 보안 스위트의 수요 자체가 줄어들 수 있다는 불안이 매도 압력으로 이어진 것입니다. 단순 공포 반응이 아니라, 업계 구조 변화를 선반영한 움직임으로 볼 수 있습니다.
지금 당장 달라지는 게 있을까 — 실사용 관점
솔직히 말하면, 일반 사용자 입장에서 당장 달라지는 건 없습니다. Mythos는 아직 테스트 단계이고, 출시 전 방어자 조직 우선 접근이라는 단계적 롤아웃이 예정돼 있습니다. 비용도 Opus 4.6보다 비쌀 것으로 예상됩니다.
개발자가 주목해야 할 두 가지
첫째, Claude Code 사용자라면 Mythos의 코딩 벤치마크 향상이 의미하는 바를 이해할 필요가 있습니다. Opus 4.6 대비 소프트웨어 코딩, 학술적 추론, 사이버보안 테스트에서 “극적으로 높은 점수(dramatically higher scores)”를 받았다고 유출 초안에 나와 있습니다. (출처: Fortune 독점 보도, 2026.03.26)
둘째, 보안 담당자나 침투 테스터 직군은 이 모델의 얼리액세스 대상에 포함될 가능성이 있습니다. 앤트로픽의 롤아웃 전략이 사이버 방어 조직 우선이기 때문입니다. 구체적인 신청 경로는 아직 공개되지 않았습니다.
IPO와의 연결 고리
AI Advances 분석에 따르면, 앤트로픽은 2026년 4분기 중 600억 달러 이상의 기업가치로 IPO를 추진 중인 것으로 알려졌습니다. (출처: The Tech Portal, 2026.03.27) 이 맥락에서 Mythos의 존재가 세상에 드러난 것은, 의도와 무관하게 상당한 마케팅 효과를 가져왔습니다.
Q&A 5가지
마치며
Claude Mythos 유출은 단순한 실수가 아닙니다. AI 안전 정책(RSP v3.0)의 핵심 변화, ASL-4 기준의 공백, 그리고 이를 채워야 할 모델의 개발 완료가 동시에 겹치는 시점에 발생했습니다. 앤트로픽이 스스로 쓴 “전례 없는 사이버보안 위험”이라는 표현을 가볍게 넘기기 어려운 이유가 거기 있습니다.
개인적으로는, 이번 유출이 의도와 무관하게 앤트로픽이 세상에 두 가지를 동시에 전달한 사건처럼 읽힙니다. 하나는 “우리가 압도적으로 앞서 있다”는 신호, 다른 하나는 “그 만큼 조심해야 한다”는 경고. 그 두 메시지가 공식 발표가 아닌 실수로 세상에 나왔다는 점이 오히려 더 설득력 있게 다가옵니다.
Mythos의 실제 출시와 ASL-4 기준이 어떻게 정의될지, 계속 지켜볼 필요가 있습니다.
본 포스팅 참고 자료
- Fortune 독점 보도 원문 —
fortune.com (2026.03.26) - Anthropic Responsible Scaling Policy 공식 페이지 —
anthropic.com/rsp-updates - Anthropic RSP v3.0 발표 원문 —
anthropic.com (2026.02.24) - Yahoo Finance — 사이버보안 주가 하락 보도 —
finance.yahoo.com (2026.03.29) - AI Advances 유출 전체 분석 —
ai.gopubby.com (2026.03.29)
본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. Claude Mythos(Capybara)는 2026년 3월 30일 기준 아직 공식 출시되지 않은 모델이며, 본문에 인용된 수치·내용은 Fortune 독점 보도 및 공식 문서 기반입니다. IT/AI 서비스는 업데이트로 내용이 달라질 수 있으므로 최신 공식 자료를 함께 참고하시기 바랍니다.
댓글 남기기