TTESays

[Claude Mythos 이후 #3] Claude Mythos 시대의 위험수용: 수용된 취약점은 사라진 위험이 아니다

Donghwi Shin, Jin Kwak

Published: 08:30, 07 May 2026 (Updated: 20:43, 07 May 2026)

💡

Editor Pick
- 위험수용은 취약점 제거가 아닌 취약점에 의한 위협을 조건부로 감당하겠다는 경영판단
- Claude Mythos 이후 수용된 취약점은 더 짧은 주기의 재평가 필요
- AI 시대의 금융보안은 취약점을 찾는 능력뿐 아니라 수용된 취약점의 생명주기를 관리하는 능력 평가

위험수용은 취약점 제거가 아니다.

Claude Mythos 이후의 보안 논의는 결국 조직의 의사결정으로 돌아온다. AI가 취약점을 더 빨리 찾고, Exploit 가능성을 더 빠르게 분석할 수 있다면, 조직은 발견된 취약점을 어떻게 처리할 것인지 더 명확하게 설명해야 한다. 특히 금융권에서는 이 질문이 더 중요하다. 금융 서비스는 단순한 웹서비스가 아니다. 결제, 인증, 계좌 접근, 거래, 정산, 외부 API, 내부 업무망이 서로 연결된 구조다. 하나의 취약점은 기술적 문제로 시작하지만, 사고가 발생하면 고객 신뢰와 금융 시스템 안정성의 문제로 이어질 수 있다.

국내 금융권은 전자금융기반시설에 대한 취약점 분석·평가 체계를 갖추고 있다. 금융회사는 취약점을 분석하고, 평가 결과에 따라 보완조치 이행계획을 세우며, 감독 체계 안에서 그 결과를 보고한다. 이 구조는 취약점 관리가 단순한 내부 기술 업무가 아니며 제도적 관리 대상이라는 점을 보여준다.

하지만 중요한 질문은 여기에 있다. 발견된 취약점은 모두 제거되는가? 그렇지 않다면 남겨진 취약점은 어떤 기준으로 수용되는가? 이 질문을 피하면 취약점 관리는 보고 절차로만 남고, 위험은 조직 안에 계속 남는다.

brown wooden blocks with number 6 — Photo by Brett Jordan / Unsplash

금융권의 취약점 관리는 제거와 보완, 수용 사이에서 움직인다.

금융권의 취약점 대응은 현실적으로 세 가지 선택지 사이에서 움직인다. 첫째, 취약점을 제거한다. 패치, 설정 변경, 코드 수정, 시스템 교체가 여기에 해당한다. 둘째, 취약점 자체를 즉시 제거하기 어렵다면 이에 상응하는 보안조치를 취한다. 접근통제, 모니터링 강화, WAF 적용, 네트워크 분리, 추가 인증 같은 조치가 여기에 포함될 수 있다. 셋째, 제거와 보완조치가 모두 어렵거나 불필요한 경우 조직은 남은 위험을 감수하고 관리한다.

이 마지막 선택이 '위험수용'이다. 위험수용은 그 자체로 잘못된 개념이 아니다. 모든 취약점을 즉시 제거할 수는 없다. 금융 시스템은 운영 중단 자체가 고객 피해와 심각한 보안 문제로 연결될 수 있고, 레거시 시스템은 벤더 지원이나 업무 연계 문제 때문에 빠르게 수정하기 어렵다. 그렇기 때문에 경영진이 잔여 위험을 인지하고 승인하는 절차는 필요하다.

문제는 위험수용이 취약점 제거처럼 취급되고 받아들여지면서 발생한다. 위험을 수용했다는 것은 위험이 사라졌다는 뜻이 아니다. 이는 위험이 남아 있음을 조직이 인정하고, 특정 조건 아래에서 그 위험을 일정 기간 감당하겠다고 결정했다는 뜻이다. 이 차이를 놓치면 위험수용은 '리스크 관리'가 아니라 보안 부채를 공식적으로 남겨두는 절차가 된다.

shallow focus photography of love lock — Photo by Christian Wiediger / Unsplash

Mythos는 수용된 취약점의 의미를 바꾼다.

과거의 위험수용은 일정한 전제를 갖고 있었다. 취약점이 존재하더라도 실제 공격으로 이어질 가능성이 낮거나, Exploit 개발이 어렵거나, 외부 노출이 제한적이거나, 보안통제가 충분하다고 판단하면 조직은 해당 위험을 일정 기간 수용할 수 있었다. 이 판단은 운영 현실을 반영한 합리적 선택일 수 있다.

그러나 Claude Mythos는 이 전제를 흔든다. AI가 코드 경로를 추론하고, 취약점의 트리거 조건을 찾고, Exploit 가능성을 분석하는 속도가 빨라지면 과거의 “낮은 가능성” 판단은 ‘잘못된 판단’으로 남게될 수 밖에 없다. 어제는 이론적 취약 가능성에 가까웠던 항목이 오늘은 실제 Exploit 경로로 재평가될 수 있다는 의미이다. 예를 들어, 어제는 내부망에 있어 괜찮다고 판단했던 취약점도, 다른 취약점과 연결되면 침투 경로의 일부가 될 수 있다는 의미다.

따라서 Mythos 시대의 위험수용은 한 번의 승인으로 끝나서는 안된다. 수용된 취약점은 지속적으로 재평가되야 하며 EPSS가 상승했는지, 실제 악용 사례가 보고됐는지, 공개 Exploit이 등장했는지, 해당 자산의 외부 노출 상태가 바뀌었는지, 보안통제가 여전히 유효한지 확인해야 한다. 위험수용은 종료가 아니라 추적의 시작이 되야 한다.

a close up of a blue and black object — Photo by Ján Čorba / Unsplash

수용하려면 먼저 검증해야 한다.

위험수용의 품질은 검증의 품질에 달려 있다. 조직이 수용하려는 취약점이 실제로 무엇인지 명확하지 않다면, 그 수용은 위험 관리가 아닌 불확실성의 승인에 가깝다. 취약점이 Exploit 가능한지, 공격자가 도달할 수 있는 경로가 있는지, 보안통제가 제대로 작동하는지, 패치하지 않았을 때 잔존하는 영향이 무엇인지 확인해야 한다.

AI 취약점 탐지가 확산되면 이 문제는 더 중요해진다. 모델은 많은 후보를 제시할 수 있다. 그러나 모든 후보가 같은 위험을 의미하지는 않는다. 어떤 결과는 실제 공격자가 활용 가능한 취약점이고, 어떤 결과는 이론적인 취약점이며, 어떤 결과는 운영 환경에서는 의미가 없을 수 있다. 이 차이를 구분하지 못하면 위험수용 목록은 불필요하게 커지고, 정말 중요한 위협이 수용 목록에 숨어든다.

그러므로 금융권의 위험수용은 엄격해야 한다. 수용된 취약점에는 최소한 재현 가능성, Exploit 가능성, 자산 중요도, 외부 노출 여부, 보안통제, 재평가 조건이 붙어야 한다. “패치가 어렵다”는 이유만으로 충분하지 않다. 패치가 어렵다면 왜 어려운지, 그동안 어떤 통제로 위험을 낮출지, 어떤 조건이 발생하면 수용 판단을 철회할지 명확히 정의해야 한다.

person holding pencil near laptop computer — Photo by Scott Graham / Unsplash

국내 금융권은 더 많은 취약점을 보게 될 것이다.

금융권의 취약점 점검 범위는 계속 확대되고 있다. 클라우드, 모바일, 오픈 API, 외부 연계 서비스, SaaS, 내부 개발 플랫폼이 금융 서비스 안으로 들어오면서 공격 표면은 넓어졌다. 과거의 전자금융기반시설 중심 점검만으로는 충분하지 않은 환경이 되고 있다. 여기에 AI 기반 점검이 결합되면 금융회사는 이전보다 더 많은 취약점 후보를 보게 될 가능성이 크다.

이 흐름은 긍정적이다. 보이지 않던 위험을 더 많이 보는 것은 보안의 출발점이다. 그러나 더 많이 보는 것이 더 안전해지는 것은 아니다. 더 많이 보면 더 많이 판단해야 한다. 어떤 취약점은 즉시 제거하고, 어떤 취약점은 보완조치로 낮추며, 어떤 취약점은 위험을 수용해야 한다. 이 판단의 기준이 명확하지 않으면 점검 확대는 안전의 확대가 아니라 예외의 확대로 이어질 수 있다.

특히 금융권은 위험수용으로 판단된 취약점의 생명주기를 별도로 관리해야 한다. 수용일, 승인자, 수용 사유, 보완통제, 재평가 주기, 재승인 조건, 종료 조건이 있어야 한다. 수용된 취약점이 KEV에 등재되거나 EPSS가 급격히 상승하거나 관련 Exploit이 공개되면 자동으로 재검토가 시작되어야 한다. 위험수용이 살아 있는 관리 체계가 되려면 수용 이후의 변화까지 따라가야 한다.

CEO 승인은 면책이 아니라 책임의 시작이다.

위험수용이 경영진 승인으로 이뤄진다는 것은 보안팀의 책임이 줄어든다는 뜻이 아니다. 오히려 책임의 위치가 명확해 진다는 뜻이다. 보안팀은 위험을 설명할 수 있어야 하고, 운영 부서는 조치 가능성을 설명할 수 있어야 하며, 경영진은 남겨둘 위험이 사업적으로 감당 가능한지 판단할 수 있어야 한다. 이러한 능력이 조직의 거버넌스 체계로 제대로 작동하려면 승인 문서는 형식적 결재가 아니라 경영 판단의 기록어야 한다.

문제는 많은 조직에서 수용이 조치 지연의 언어로 쓰일 수 있다는 것이 문제이다. 패치가 어렵고, 일정이 빠듯하고, 장애가 우려되면 위험수용은 편리한 선택지가 된다. 그러나 Mythos 시대에는 이 선택의 댓가 비용은 증가한다. 수용된 취약점은 공격자에게 보이지 않는 것이 아니다. 공격자는 조직의 결재 상태를 보지 않는다. 공격자는 남아 있는 취약점과 도달 가능한 경로만 본다.

따라서 CEO 승인이나 경영진 승인은 위험을 닫는 행위가 아니라 위험을 공개적으로 떠안는 행위로 이해되어야 한다. 그 위험은 재평가되어야 하고, 조건이 바뀌면 다시 의사결정 테이블에 올라와야 한다. 그렇지 않으면 위험수용은 보안 부채의 제도화가 될 것이다. CEO는 위와 같은 흐름을 반드시 이해하고 흐름에 대응할 수 있는 업무를 CISO에게 위임하고 적극적으로 확인하거나 직접 확인하면서 보안 부채가 경영상의 위협으로 다가오지 않도록 관리 해야 한다.

위험수용의 새로운 질문

Claude Mythos 시대의 금융보안은 몇 가지 새로운 질문을 요구한다. 발견된 취약점 중 몇 퍼센트를 제거했는가? 몇 퍼센트가 보안 조치로 인해 해결되었는가? 몇 퍼센트가 위험수용 되었는가? 위험수용된 취약점 중 High 또는 Critical 등급의 비중은 어느 정도인가? EPSS가 높은 취약점이 수용 목록에 몇개 어느 정도 기간 동안 남아 있는가? 실제 악용된 취약점이 수용 상태로 유지되고 있는가? 위험수용의 재평가 주기는 얼마인가? 보완통제가 실패하면 누가 알 수 있는가? 이사회나 리스크관리위원회는 이 위험을 알고 있는가?

이 질문들은 조직을 비난하기 위한 질문이 아니다. 위험수용을 정상적인 리스크 관리로 유지하기 위한 질문이다. 위험수용이 정확하게 작동하려면 조직은 남겨둔 위험을 숫자와 조건으로 설명할 수 있어야 한다. 수용한 취약점이 왜 수용 가능한지, 어떤 통제가 작동하고 있는지, 어떤 조건에서 수용 판단이 취소되는지 설명할 수 있어야 한다. 그러므로 이전 문단에서 제시한 질문들을 조직에 던지고 답변할 수 있도록 조직의 체계를 만들어야 한다.

a book with a diagram on it — Photo by Андрей Сизов / Unsplash

결론: 수용된 취약점은 미래로 넘긴 위험이다

위험수용은 필요하다. 그러나 위험수용이 안전을 의미하지는 않는다. 특히 AI가 취약점 분석과 Exploit 개발의 시간을 줄이는 시대에는 수용된 취약점도 더 짧은 주기로 재평가되어야 한다. 수용은 “고치지 않아도 된다”는 결정이 아닌 “남은 위험을 조건부로 관리하겠다”는 약속이 되야 한다.

Claude Mythos 시대의 금융보안은 더 많은 점검과 더 많은 보고서만으로 충분하지 않다. 이제 필요한 것은 수용된 취약점의 생명주기를 관리하는 능력이다. 발견된 취약점을 제거하지 않기로 했다면, 조직은 그 결정이 언제까지 유효한지, 어떤 조건에서 무효가 되는지, 누가 책임지는지 설명할 수 있어야 한다.

수용된 취약점은 사라진 위험이 아니다. 그것은 조직이 미래로 넘긴 위험이다. 그리고 Mythos 이후 그 미래는 더 빨리 다가올 것이다.

💡

Editor Pick : 전반적인 흐름은 금융 분야에 초점을 맞추서 작성했으나, IT 환경을 보유한 대부분의 분야에 적용되는 내용입니다.