제로에 대한 신화와 신화: 은행이 취약점 백로그 추적을 중단해야 하는 이유

뱅킹 기술은 규모, 가동 시간, 지속적인 사용을 위해 설계된 거대한 건물처럼 항상 사람이 상주하는 방식으로 구축되었습니다. 안전하지 않은 적이 없습니다.  

문에는 자물쇠가, 복도에는 카메라가, 특정 방에는 배지와 에스코트가 필요했습니다. 문이 열려 있는 것이 발견되면 반복 가능한 프로세스를 통해 잠글 수 있었습니다.

이 프로세스는 종종 위험 기반이었습니다. 패치를 사용할 수 없는 경우, 수정이 진행되는 동안 보완 제어를 적용하는 체계적인 접근 방식이 있었습니다.  

이는 일반적인 은행 규율입니다. 그리고 그것은 발견의 속도가 인간적일 때 효과가 있었습니다.

앤트로픽의 프론티어 AI 모델인 Claude Mythos는 기존의 해결 프로세스보다 더 빠르게 취약점을 발견하고 공격자가 방어 시스템이 취약점을 차단하기 전에 조치를 취할 수 있는 기회를 제공했습니다.

오래된 거래: 약점을 찾아서 약점을 고치자

지난 10년 동안 대부분의 취약점 백로그는 표준 패치 프로세스, 변경 제어 및 규제 기관에서도 인정하는 유효성 검사 주기를 통해 관리되었습니다.

규제 당국은 사이버 위생, 엄격한 테스트, 엄격하게 관리되는 패치 관리에 대한 기대치를 통해 이 모델을 강화했습니다. 예를 들어 뉴욕주 금융서비스국(NYDFS)은 취약성 개선 및 변경 제어를 사이버 보안 검사에 직접 포함시켰습니다.

하지만 핵심 업그레이드, 주말 패치 기간 또는 취약한 레거시 종속성을 겪어본 사람이라면 누구나 알겠지만, 어떤 문은 빠르게 닫힐 수 있는 반면 어떤 문은 더 많은 힘과 노력이 필요한 경우도 있습니다.  

준비 없이 폐쇄하면 급여 실행, 결제 체인, 인수 워크플로 및 고객 액세스가 중단될 수 있습니다. 회복탄력성 프로그램은 바로 이러한 상황을 방지하기 위해 고안된 것입니다.

기관은 항상 위험 및 취약성 백로그를 안고 일해 왔습니다. 이를 처리하기 위해 잘 정의된 위험 관리 프로세스를 따랐습니다. Mythos는 백로그를 무시할 수 없게 만들고 기존 프로세스를 쓸모없게 만듭니다.

새로운 현실: 검색의 속도가 기계처럼 빨라졌습니다.

통제된 테스트 중에 Anthropic의 Mythos Preview는 주요 운영 체제 및 브라우저에서 이전에 알려지지 않은 수천 개의 취약점을 자율적으로 발견했습니다. 수십 년 동안 발견되지 않은 채 존재했던 경우도 많았습니다.  

이전에는 전문 팀과 긴 감사 주기가 필요했던 작업을 모델 중심의 단일 패스로 압축했습니다.

JP모건 체이스의 실적 발표에서 CEO 제이미 다이먼은 AI를 양날의 검이라고 설명했습니다. 그는 Mythos를 통해 더 많은 취약점을 수정해야 한다는 것을 알 수 있다고 말했습니다.

그의 말이 맞습니다. 하지만 더 중요한 문제는 제때 해결되지 않은 문제는 어떻게 되는가 하는 것입니다.

Verizon 2026 데이터 유출 조사 보고서에 따르면 공격자는 일반적으로 약 5일 이내에 새로 공개된 취약점을 대량으로 악용하는 것으로 나타났습니다. 규제 대상 부문의 경우 완전한 해결에 몇 주가 더 걸리는 경우가 많습니다.  

발견과 패치 사이에는 항상 간극이 존재해 왔습니다. Mythos는 그 격차의 양쪽을 동시에 볼 수 있게 만들었습니다.

은행에서는 문이 항상 열려 있었습니다. 이제 건물을 개조하는 것보다 더 빠르게 태그가 지정되고, 매핑되고, 활용됩니다.

질문이 변경되었습니다.

수년 동안 취약점에 대한 논의는 얼마나 빨리 패치를 적용할 수 있느냐는 경쟁의 구도로 진행되었습니다.

이제 기관에서는 오늘 밤에 패치를 하지 않으면 공격자가 우리 네트워크를 통해 어디까지 확산될 수 있을까요? 라는 운영적인 질문을 하고 있습니다.

완벽한 예방을 기반으로 구축된 보안 모델과 제한적인 결과를 기반으로 구축된 보안 모델의 차이입니다. 그리고 규제 당국의 기대치가 점점 더 높아지는 것에서도 이를 알 수 있습니다.

예를 들어, OSFI B-13은 실제 격리라는 동일한 본능을 반영하는 위협 주도 테스트를 강조합니다.  

영란은행은 사이버 위험은 방어책과 함께 진화하며 단순히 사라지지 않는다는 점을 분명히 해왔습니다. 복원력은 구축하고, 테스트하고, 새로 고치는 것이어야 합니다.

규제 위협에 대한 논의는 같은 지점으로 수렴하고 있습니다. 대부분의 취약점 프로그램은 아직 따라잡지 못했습니다.

'극단적이지만 그럴듯한'이 누락된 연결 고리인 이유

현재 Mythos에 대한 접근이 통제되고 있지만, 이 상태가 오래 유지되지는 않을 것입니다.  

프론티어 AI는 이 기능을 따라잡고 상품화할 것입니다. 그렇게 되면 비대칭이 영구적으로 뒤집힙니다. 공격자는 패치 주기가 대응할 수 있는 속도보다 더 빠르게 취약점을 식별하고 무기화할 수 있습니다.

즉, 기관은 더 이상 존재하지 않는 결승선을 기준으로 보안 태세를 구성하는 것을 중단해야 합니다.

현재 은행들이 계획하고 있는 시나리오는 AI를 사용하는 공격자가 결제 시스템, 결제 엔진, 고객 대면 채널, 공유 인프라 등 긴밀하게 상호 연결된 은행 환경을 통해 이동하다가 탐지 도구가 이상 징후를 포착하는 것입니다. 따라서 침해 차단만이 유일한 실행 가능한 보안 전략이 됩니다.

은행은 이미 스스로 인정하는 것보다 더 많은 것을 가지고 있습니다:

• DORA 스트레스 테스트
• CBEST 시뮬레이션
• 시나리오 계획

이러한 프레임워크는 규제 기관이 최종적인 침해가 위협 모델의 일부라는 것을 이해하고 있기 때문에 존재합니다. 그들이 묻는 질문은 침해 사고에서 살아남을 수 있도록 환경을 설계했는지 여부입니다.

실질적인 변화: 패치 속도에서 폭발 반경으로의 전환

취약점 관리에는 두 번째 축이 필요합니다.

첫 번째 축은 심각도, 악용 가능성, 자산 중요도 등 이미 가지고 있는 축입니다. 두 번째 축은 대부분의 프로그램에서 놓치고 있는 측면 이동 가능성입니다.  

오늘 밤 이 취약점이 무기화되면 공격자는 여기서 무엇을 할 수 있을까요? 한 홉 거리란? 두 개?

모든 취약점이 동일한 확률을 갖는 것은 아니며, 모든 취약점이 동일한 폭발 반경을 갖는 것도 아닙니다. 핵심 결제 레일의 인터넷 연결 인증 계층의 결함은 3년 동안 생산에 영향을 미치지 않은 레거시 보고 시스템의 결함과는 완전히 다른 문제입니다.  

위험은 취약점이 아니라 경로입니다.

이를 올바르게 수행하는 기관은 패치를 더 빨리 적용하는 것이 아니라 잠기지 않은 문이 중요하지 않은 복도로 열리도록 설계하는 것입니다.

이것이 현재 은행 CISO에게 의미하는 것

미토스는 거울입니다. 이는 수천 개의 취약점이 이미 존재했던 환경을 반영하며, 그 중 상당수는 오래되고 조용히 용인된 취약점입니다. 그리고 프로그램이 이러한 현실에 맞게 제작되었는지 묻습니다.

이에 대한 대응은 두 가지를 무자비하게 명확히 하는 것입니다. 어떤 취약점이 악용될 경우 시스템적으로 확산될 수 있는지, 패치 상태와 관계없이 어떤 아키텍처 제어가 그 확산 반경을 제한하는지 파악해야 합니다.

이것이 바로 지금 해야 할 일, 즉 설계를 통한 격리입니다.

Mythos가 금융 산업에 어떤 영향을 미칠지 자세히 알아보고 싶으신가요? 저희의 팩트 시트.