앤트로픽 ‘Mythos’가 던진 신호…보스턴 독자가 봐야 할 변화는 AI 경쟁보다 기업 보안 부담

앤트로픽이 4월 7일 공개한 제한형 AI 모델 ‘Claude Mythos Preview’를 두고 미국과 영국 금융권, 규제당국, 보안업계의 경계가 이어지고 있다. 핵심은 이 모델이 단순한 문서 생성이나 코드 보조를 넘어, 복잡한 기업 시스템과 오래된 소프트웨어 안에서 취약점을 더 빠르게 찾아낼 수 있다는 점이다. 이번 사안은 새 AI 모델 경쟁 자체보다, 금융·헬스케어·대기업 IT 비중이 큰 미국 동부 산업 구조에서 보안과 운영 안정성의 중요성이 다시 부각되고 있다는 점에서 읽을 필요가 있다.

로이터에 따르면 4월 13일 기준 보안 전문가들은 Mythos가 특히 은행권의 레거시 시스템, 즉 수십 년 전 도입한 뒤 여러 차례 덧붙여 운영해온 핵심 소프트웨어에 부담이 될 수 있다고 보고 있다. 은행들은 최신 클라우드 도구와 오래된 내부 시스템을 함께 쓰는 경우가 많고, 고객확인(KYC), 계좌 개설, 거래 처리 같은 업무에서 유사한 벤더와 시스템 구조를 공유하는 사례도 적지 않다. 이런 환경에서는 한 곳의 취약점이 더 넓게 번질 수 있다는 우려가 나온다.

미국에서도 당국의 움직임이 있었다. 로이터는 스콧 베선트 미 재무장관과 제롬 파월 연방준비제도 의장이 4월 초 주요 은행 최고경영진과 만나 해당 모델의 사이버 리스크를 경고했다고 전했다. 영국 관련 보도는 더 신중하게 읽을 필요가 있다. 원출처 기준으로는 영국 금융 규제당국과 정부 사이버보안 기구(NCSC)가 잠재적 위험을 평가하고 있으며, 주요 금융기관들이 관련 브리핑을 받을 예정이라는 수준이다. 이를 업계 전반의 긴급 점검이 이미 본격화된 것으로 단정해 읽을 단계는 아니다.

앤트로픽은 Mythos를 일반에 공개하지 않고 ‘Project Glasswing’라는 제한적 프로그램 아래 일부 기관에만 방어 목적의 평가를 허용하고 있다. 회사는 이 모델이 주요 운영체제와 웹브라우저, 널리 쓰이는 소프트웨어에서 수천 건의 고위험 취약점을 식별했다고 설명했다. IBM 역시 별도 해설에서 이런 유형의 모델이 기업 보안팀으로 하여금 방어 체계를 처음부터 다시 점검하게 만들고 있다고 평가했다.

이 흐름이 보스턴 독자에게 중요한 이유는 지역 산업 구조와 맞닿아 있기 때문이다. 매사추세츠의 사이버보안 생태계는 헬스케어, 금융서비스, 방산, 제조, 생명과학 같은 산업과 긴밀히 연결돼 있다. 다시 말해 보스턴권에서는 ‘최신 AI 모델을 직접 만드는 일’만이 아니라, 복잡한 기업 시스템을 안전하게 연결하고 점검하며 운영하는 역량이 계속 중요하게 취급될 가능성이 있다. 다만 이것이 곧바로 특정 업종의 대규모 채용 확대나 예산 집행으로 이어진다고 단정할 수는 없다. 현재 확인되는 것은 보안 리스크에 대한 관심과 방어 필요성이지, 지역별 채용 확대가 공식 수치로 입증됐다는 뜻은 아니다.

유학생과 졸업 예정자에게 시사점이 있는 대목도 여기다. 이번 사례가 보여주는 것은 순수 AI 연구나 모델 개발 포지션만 시장의 중심이라는 단순한 그림이 아니라는 점이다. 기업 입장에서는 애플리케이션 보안(AppSec), 클라우드 보안, 인프라 자동화, 취약점 관리, 접근권한 통제, 감사 대응 문서화 같은 역할을 더 구체적으로 설명하고 예산화하기 쉬운 경우가 많다. 미국 노동통계국은 정보보안 분석가 고용이 2024년부터 2034년까지 29% 늘어날 것으로 보고 있다. 다만 이 수치 역시 보안 직무 전반의 중장기 전망을 보여주는 자료이지, 이번 Mythos 이슈 하나가 곧바로 채용 확대로 이어진다는 직접 근거는 아니다.

현직 직장인에게는 다른 의미가 있다. 기업이 AI를 도입할 때 이제는 ‘무엇을 자동화할 수 있는가’만이 아니라 ‘어떤 공격면이 넓어질 수 있는가’를 함께 보게 됐다는 점이다. 특히 금융·의료·공공처럼 규제가 강한 환경에서 일해본 경험이 있다면, 새 기능을 만드는 역량과 함께 로그 분석, 취약점 대응 프로세스, 서드파티 리스크 점검, 권한 관리, 컴플라이언스 협업 같은 운영 역량의 가치가 다시 커질 수 있다. 여기서도 표현은 조심할 필요가 있다. 이것이 당장 모든 기업의 채용 기준이 바뀌었다는 뜻은 아니지만, 실무 평가 기준이 개발 속도만으로 설명되기 어려워지는 흐름은 분명히 읽힌다.

이직 준비자나 비자 스폰서십을 고민하는 독자도 해석은 참고 수준으로 받아들이는 편이 적절하다. 규제 산업에서 AI 활용과 보안 대응이 함께 논의될수록, 채용 과정에서 ‘모델을 잘 다룬다’는 추상적 설명보다 ‘운영 안정성과 위험 통제에 기여할 수 있다’는 구체적 설명이 더 설득력 있게 받아들여질 가능성은 있다. 다만 실제 스폰서십 여부나 채용 우선순위는 회사 정책, 예산, 직무 성격, 이민 환경에 따라 달라질 수 있어 일반화하기는 어렵다.

이번 이슈를 지나치게 넓게 해석할 필요는 없다. 그렇다고 단순한 모델 경쟁 뉴스로만 넘기기도 어렵다. 지금 확인되는 변화는 AI 성능 향상이 기업 보안과 규제 환경의 부담을 동시에 키우고 있다는 점, 그리고 보스턴처럼 금융·헬스케어·연구기관이 밀집한 지역에서는 이 부담이 실무적 질문으로 이어질 수 있다는 점이다. 앞으로의 관전 포인트는 금융과 헬스케어 같은 규제 산업이 이런 모델을 어디까지 방어적으로 평가·도입할지, 그리고 그 과정에서 보안·플랫폼·거버넌스 역량이 실제 조직 운영과 채용에서 얼마나 비중을 갖게 될지다.