한 줄 요약 — 2026년 4~5월, AI 회사가 자사 신모델을 "너무 위험해서" 출시 보류했다. 美 재무장관·연준의장이 Wall Street CEO를 긴급 소집했고, 정부가 모델 접근 권한을 요구했고, 5월엔 같은 회사가 금융권 전용 AI 에이전트를 정식 발표했다. AI 시스템 리스크가 거시 정책 의제가 된 첫 사이클이다.
리포트 소개
AI 보안 위협은 그동안 추상적 우려였다. "AI가 해킹 도구로 쓰일 수 있다"는 보고서는 많았지만, 정부 최고위층이 직접 움직인 적은 없다. Mythos 사건은 그 선을 넘었다. Anthropic의 Frontier Red Team이 자사 신모델로 사이버보안 평가를 한 결과 27년 묵은 OpenBSD 결함을 포함해 수천 건의 제로데이 취약점을 발견했다. 5백만 회 자동 스캔에서도 살아남았던 16년 묵은 버그까지. 그 결과 Anthropic은 광범위 출시를 보류했고, 美 재무부·연준은 Wall Street CEO를 본부로 불러 모았다.
27년
Mythos가 발견한 OpenBSD 결함의 최장 미발견 기간
$10B
Bezos AI 랩 (Mythos 같은 위협 모델 대응) 펀딩 추진 규모
$25B
OpenAI 연 매출 (참고: AI 시장 규모 컨텍스트)
3축
정부 대응 — 재무부·연준·CAISI 동시 가동
큰 그림. "AI 안전"이라는 단어는 두 가지를 동시에 의미한다 — ① 모델이 잘못 말하는 것(환각·편향) ② 모델이 잘못 행동하는 것(악용·시스템 침투). Mythos는 ②가 처음으로 ①보다 더 큰 헤드라인이 된 사건이다. 그리고 그 헤드라인이 IT 매체가 아닌 Bloomberg·Fortune·CNBC에서 1면을 차지했다는 점이 결정적.
전체 사이클 — 5월의 26일
4/10
긴급회의. Bessent 재무장관·Powell 연준의장이 Wall Street CEO를 재무부 본부로 소집. Mythos의 사이버보안 위협을 브리핑.
4/14
정부의 모델 접근 요청. 美 재무부 CIO Sam Corcos가 Anthropic에 Mythos 접근 권한 요청. 정부가 직접 취약점 헌팅에 나섬.
4/15
Bloomberg Opinion 해설. "Mythos는 은행만의 경고가 아니다" — 사이버보안 위협 모델이 처음으로 출시 보류 결정에 이른 의미 분석.
5/1
Fed Bowman 발언. Mythos가 AI 도구의 동적 본질을 보여준다고 공식 평가. AI 시스템 리스크가 통화정책 당국의 공식 관찰 대상이 됨.
5/5
Anthropic의 후속편. 은행·보험·자산운용 전용 AI 에이전트 정식 발표. 같은 날 Trump 행정부 산하 CAISI가 Google·MS·xAI와 모델 사전 평가 협약 체결.
5/15
White House 검토. OMB가 연방 부처에 Mythos 사용 권한 부여 보호장치 마련. "위험한 모델"이 "정부 도구"로 빠르게 전환.
5대 핵심 트렌드
TREND 01
"출시 보류"라는 새 패러다임의 등장
지금까지 AI 회사들은 "안전한 출시" 또는 "단계적 롤아웃"을 했다. Anthropic은 다른 길을 택했다 — 완전 출시 보류. 이 결정은 회사 평판·매출과 직결되는 큰 비용이었고, 그래서 더 큰 메시지가 됐다.
"Project Glasswing" 프레임 — 선별된 일부 기업·정부에만 접근 권한
OpenAI·Google과 다른 행보 — Anthropic의 "안전 우선" 포지셔닝 강화
업계 표준 변화 가능성 — 다음 frontier 모델은 자율 출시 보류 옵션을 두게 될 듯
의미 — AI 회사의 "안전팀(Frontier Red Team)"이 비용 센터에서 의사결정 센터로 격상. 출시 결정이 마케팅이 아니라 위험평가 부서 손에 들어감.
TREND 02
정부가 AI 모델을 사전 평가하기 시작했다
5/5에 출범한 CAISI (Center for AI Standards and Innovation)는 Google DeepMind·Microsoft·xAI와 모델 사전 평가 협약을 맺었다. 모델 출시 전 정부가 평가하는 새 거버넌스 시대 개막. 그리고 Mythos 사건은 그 시작의 트리거였다.
美 정부의 모델 사전 평가 = 빅테크 자율 시대의 종료 신호
Anthropic은 Mythos 사건 후 별도 트랙으로 협력
EU AI Act, 한국 AI 기본법(1/22 시행)과의 정책 경쟁 시작
중국도 곧 자체 사전 평가 체계 발표 예상
의미 — AI 거버넌스가 "원칙 선언"에서 "실제 평가·접근권"으로 이동. 이제 모델 출시 일정에 "정부 평가 기간"이 추가 변수.
TREND 03
AI vs AI — 사이버보안의 군비 경쟁
Mythos가 방어자 도구로 출발했지만 공격 능력이 너무 강해서 보류된 사실. Google DeepMind의 CodeMender(앞서 Stanford AI Index 2026도 언급)도 비슷한 문제. AI가 AI 보안 위협의 양면을 다 만들고 있다.
Mythos: 27년 묵은 결함 발견 → 수정 패치도 함께
DeepMind CodeMender: 새로운 제로데이 자동 발견
방어자도 AI를 써야 따라잡을 수 있는 시대
한국 KISA·금융보안원의 AI 도구 도입 시급
의미 — 사이버보안 예산이 "사람·도구·교육" 3축에서 "사람·AI 도구·AI 교육"으로 재편. 보안 인력 부족 문제의 단기 해결책이자 장기 격차의 시작.
TREND 04
금융권이 첫 표적·첫 수혜자
정부가 가장 먼저 부른 곳이 Wall Street CEO들이라는 사실은 우연이 아니다. 금융 시스템은 가장 정밀한 사이버 표적이자, AI 도입 ROI도 가장 빠르다. 그래서 위험·기회 모두 1순위.
5/5 Anthropic 금융 에이전트 — 피칭덱·재무제표·컴플라이언스 자동화
은행·보험·자산운용 전 영역 동시 진입
"위험한 모델 → 안전한 에이전트" 전환의 모범 사례
Bessent·Powell의 미팅이 일방 경고가 아닌 양방 협력 진입점
의미 — 한국에서도 금융권이 가장 먼저·가장 깊이 영향 받을 영역. KB·신한·하나·NH가 5월 안에 AI 거버넌스 전략 재검토 권장.
TREND 05
"공식 자료 vs 추측"의 격차 — 검증된 사실의 가치
Mythos 사건은 오피셜 소스 6건의 정밀한 보도로 추적된다. Bloomberg·Fortune·CNBC가 익명 소스 위주의 추측 보도가 아닌 정부 인사 실명·발언 시점·후속 조치까지 모두 명시. 이게 진짜 가치 있는 뉴스의 모습이다.
Bessent·Powell·Bowman·Corcos — 모두 실명 + 발언 시점 명시
Anthropic 공식 보도자료·CEO 발언 명시
Fortune의 익명 소스 비중은 명시적으로 표시 (검증 가능)
한국 매체의 받아쓰기·번역 보도와 결정적 차이
의미 — '달려라 AI' 같은 한국어 큐레이션 서비스의 차별화 지점이 명확. 카더라·외신 받아쓰기 X, 공식 출처 6+ 검증 + 시점·인물 명시. 이 사건이 곧 우리 콘텐츠 표준의 살아있는 예시.
핵심 시사점 5가지
1. AI 거버넌스는 "선언"이 아닌 "평가"의 시대로. 정부가 모델 접근권을 요구하는 시대. 한국 기업도 "AI 윤리 헌장"보다 "외부 검증·평가" 체계를 구축해야 한다.
2. AI 안전팀의 위상이 변한다. Anthropic의 Frontier Red Team이 회사 최대 의사결정에 영향. 한국 대기업도 "AI 안전실"을 부속 부서에서 핵심 부서로 격상 검토.
3. 금융권이 첫 1번 트랙. 위험도 기회도 가장 큰 영역. 다음 6개월이 한국 금융 AI 전략의 가장 중요한 시기.
4. "출시 보류"는 마케팅 카드가 될 수 있다. Anthropic은 보류로 더 큰 신뢰를 얻었다. 한국 AI 기업도 "안 만든 것"을 자랑할 수 있어야 한다.
5. 정보 신뢰성이 핵심 차별화. 추측 보도가 넘치는 시대에 6+ 공식 소스 검증 콘텐츠가 가치를 갖는다. 우리 서비스의 정체성과 직결.
🇰🇷 한국 기업·정부에 의미하는 것
한국은 AI 기본법 1/22 시행으로 미국·EU와 보조를 맞춘 상태다. Mythos 사건은 그 다음 단계의 그림을 보여준다:
금융감독원·KISA의 AI 사전 평가 권한 — 美 CAISI 모델을 참고해 한국 버전 검토 시작 필요. 1/22 기본법의 "고위험 AI" 정의 보강.
금융지주·시중은행의 AI 거버넌스 — KB·신한·하나는 Anthropic 금융 에이전트 도입 검토 vs 자체 개발 vs 보류의 3-way 결정 필요. 5/5 발표 이후 모든 한국 금융권에 직접 영향.
SK·삼성·KT의 frontier 모델 출시 정책 — "광범위 출시 보류" 옵션을 갖춘 회사가 더 많은 신뢰를 얻는다는 새 룰. HyperCLOVA·Gemma-Ko 등에 영향.
한국 보안 업계 기회 — AI vs AI 사이버보안 경쟁에서 한국 보안업체(안랩·SK쉴더스 등)가 AI 도구 채택 시급. CodeMender·Mythos 같은 모델 사용 vs 자체 개발 선택지.
언론·매체 차별화 시그널 — Bloomberg·Fortune 수준의 정밀 보도가 한국에선 거의 부재. 달려라 AI 같은 한국어 깊이 큐레이션의 시장이 정확히 여기.
비판적으로 봐야 할 부분
"너무 위험해서 보류"는 마케팅 메시지일 수 있다. 실제 위험 수준은 외부 검증 불가. Anthropic의 안전 포지셔닝은 사업 차별화와 일치하므로 자기 강화적 동기.
27년 결함 같은 충격 숫자는 검증 어렵다. OpenBSD 코어팀 검증 발표가 아직 나오지 않음. Anthropic Frontier Red Team 자체 보고에 의존.
Fortune·Bloomberg 보도도 익명 소스 비중 있음. Bessent·Powell 미팅 내용은 일부 익명 참석자 증언에 의존. 100% 사실 검증 불가.
"5월 최대 AI 사건"이라는 프레임은 미디어 편의. 같은 시기 EU·중국에서 다른 큰 사건이 있었을 수 있으나 한국·서구 매체 시야 밖.
금융권 즉시 도입 권장은 과속일 수 있다. 5/5 발표 후 2주도 안 된 시점. 한국 금융권의 정상적 보안 검토는 최소 6개월 필요.
용어 사전
Frontier Red Team — AI 회사 내부의 위험 평가팀. 자사 모델의 악용 가능성·공격 능력을 사전 테스트. Anthropic·OpenAI·Google DeepMind 모두 운영.
Project Glasswing — Anthropic이 Mythos 출시를 일부 기업·정부에만 제한한 프로그램명. "유리 날개" — 보이지만 함부로 접근 못 함의 메타포.
CAISI (Center for AI Standards and Innovation) — Trump 행정부 산하 AI 표준·평가 기관. 2026년 5월 출범. Google·MS·xAI와 모델 사전 평가 협약.
Zero-day vulnerability — 개발자도 모르는 사이 존재하는 보안 결함. 발견 시점=공격 가능 시점. Mythos가 OpenBSD 등에서 다수 발견.
OMB (Office of Management and Budget) — 美 백악관 산하 예산·관리실. 연방 부처의 AI 도구 사용 정책을 결정.
Bessent·Powell·Bowman — Bessent: 美 재무장관 / Powell: 연준의장 / Bowman: 연준 이사. 모두 5월 Mythos 사이클 핵심 인물.