AI 거품론, 보안 붕괴, 그리고 한국이 놓쳐선 안 될 신호

금융위기의 데자뷔 — 엘리자베스 워런이 던진 경고

"나는 거품을 알아본다."

2026년 4월 22일, 워싱턴 DC의 한 정책 포럼에서 엘리자베스 워런 상원의원이 던진 이 한 마디는 단순한 정치적 수사가 아니었다. 2008년 금융위기 이후 소비자금융보호국(CFPB) 창설을 주도했던 인물이 AI 산업 전체를 가리키며 "버블"이라 부른 것이다. 같은 날, 앤트로픽(Anthropic)의 최강 사이버보안 AI 모델 '마이토스(Mythos)'가 디스코드 그룹에 유출됐다는 소식이 터졌다. 그리고 구글은 라스베이거스에서 7억 5천만 달러 규모의 AI 스타트업 지원 펀드를 발표하며 축제 분위기를 이어갔다. 한 주에 터진 이 세 사건은 따로 읽으면 제각각의 이슈지만, 함께 보면 하나의 구조적 균열을 드러낸다.

워런의 경고 — 2008년이 돌아오는가

The Verge에 따르면, 워런 의원은 밴더빌트 정책 가속기 행사에서 AI 기업들의 과도한 차입과 불투명한 자금 조달 구조가 "2008년 금융위기와 놀라운 유사성을 보인다"고 지적했다. 핵심 논리는 간단하다. AI 기업들이 민간 신용 펀드(private credit fund) 같은 규제 사각지대의 자금원에서 막대한 금액을 빌리고 있는데, 수익 성장이 지출 속도를 따라가지 못하고 있다는 것이다.

"AI 기업들이 번개처럼 빠른 속도로 매출을 늘리지 못한다면, 막대한 부채를 감당할 수 없을 것"이라는 워런의 발언은 의미심장하다. 전통 은행과 달리 민간 신용 펀드는 동일한 규제 감독을 받지 않아, "첫 번째 큰 실패가 발생하면 모두가 출구로 달려갈 것"이라는 경고가 설득력을 갖는다. 쉽게 말해, 리스크가 불투명하게 숨겨져 있는 구조 자체가 문제라는 것이다.

물론 AI 산업의 잠재력 자체를 부정하는 건 아니다. 워런 의원 스스로 "기술의 엄청난 잠재력을 믿는다"고 밝혔다. 다만 성장 속도와 지출 규모 사이의 간극, 그 간극을 메우는 불투명한 자금 구조가 시스템 리스크로 전환될 수 있다는 경고다.

구글의 7억 5천만 달러 베팅 — 축제의 이면

TechCrunch가 전한 구글 클라우드 넥스트(Google Cloud Next) 2026의 분위기는 대조적이다. 구글은 라스베이거스에서 AI 에이전트 생태계 확장을 위해 7억 5천만 달러 규모의 파트너 지원 예산을 공표했다. 스타트업부터 대형 컨설팅 기업까지 아우르는 이 자금은 제미나이(Gemini) 개념 증명(PoC) 프로젝트, 클라우드 크레딧, 배포 리베이트 등에 활용될 수 있다.

주목할 만한 건, 이 생태계에 이름을 올린 스타트업들의 면면이다.

러버블(Lovable): 연간 반복 매출(ARR) 4억 달러 궤도의 바이브 코딩 스타트업, 구글 엔터프라이즈 마켓플레이스에 코딩 에이전트 출시
노션(Notion): 기업가치 약 110억 달러, 텍스트·이미지 생성에 제미나이 모델 탑재
감마(Gamma): 기업가치 21억 달러의 AI 기반 프레젠테이션 도구, 구글의 이미지 모델 '나노 바나나 2(Nano Banana 2)' 활용
인퍼액트(Inferact): 오픈소스 추론 프레임워크 vLLM 창시팀의 상업용 벤처, 구글 클라우드를 통해 엔비디아 GPU 접근

워런의 경고와 구글의 발표를 나란히 놓으면, 현재 AI 산업의 구조가 보인다. 거대 플랫폼은 생태계를 확장하고, 스타트업들은 그 위에 올라타며 성장한다. 문제는 이 성장이 실제 수익으로 전환되기 전에 부채가 먼저 쌓이는 구조라는 점이다.

마이토스 유출 — 가장 위험한 AI가 풀렸다

돌이켜보면, 이번 주 가장 심각한 뉴스는 따로 있었다.

The Verge에 따르면, 앤트로픽의 '클로드 마이토스 프리뷰(Claude Mythos Preview)'가 소수의 무단 사용자 그룹에게 접근되는 사고가 발생했다. 마이토스는 단순한 AI 모델이 아니다. 모든 주요 운영체제와 주요 웹 브라우저의 취약점을 식별하고 악용할 수 있는 사이버보안 특화 도구다. 앤트로픽 스스로 "잘못된 손에 들어가면 위험하다"고 경고했던 모델이다.

공식 접근 권한은 '프로젝트 글라스윙(Project Glasswing)'을 통해 엔비디아, 구글, 아마존 웹서비스(AWS), 애플, 마이크로소프트 등 극소수 기업에만 부여됐다. 각국 정부도 도입을 검토 중이었다. 그런데 한 제3자 계약업체 직원이 자신의 접근 권한을 이용하고, 이른바 '인터넷 탐색 도구'를 결합하는 방식으로 디스코드 프라이빗 포럼이 2주간 마이토스에 접근했다는 것이다.

내부자 위협(insider threat)과 비공인 접근이 결합됐다는 점에서, 이는 단순한 해킹이 아니라 보안 아키텍처 설계 자체의 허점을 드러낸 사건이다.

CISA는 왜 배제됐나 — 제도의 아이러니

더 씁쓸한 대목이 있다. The Verge의 보도에 따르면, 미국의 중앙 사이버보안 기관인 사이버보안·인프라보안청(CISA, Cybersecurity and Infrastructure Security Agency)이 마이토스 프리뷰에 접근하지 못한 것으로 알려졌다. 상무부나 국가안보국(NSA)은 이 모델을 활용 중이고, 트럼프 행정부도 광범위한 접근 협상을 이어가고 있는 와중에, 정작 국가 사이버보안을 총괄하는 기관이 제외된 것이다.

트럼프 행정부 치하에서 CISA의 위상이 크게 약화된 점이 배경으로 지목된다. 앤트로픽은 CISA를 브리핑했다는 입장을 밝혔지만, 공식 접근 제공 여부에 대해서는 답변을 거부했다. 가장 강력한 사이버 공격 도구를 지키는 역할을 해야 할 기관이 그 도구에 접근조차 못하고 있다는 아이러니다.

한국이 잡아야 할 좌표

이 흐름이 한국에 시사하는 바는 생각보다 훨씬 구체적이다.

첫째, 사이버보안 AI의 군·안보 적용 경쟁이 본격화되고 있다. 마이토스 사태는 공격·방어 양면의 사이버 AI가 국가 안보 자산으로 격상됐음을 보여준다. 한화시스템은 현재 국방 AI 플랫폼 '아이원(AIONE)' 구축을 추진 중인데, 마이토스급 취약점 탐지·대응 모듈을 군 네트워크 방호에 통합하는 방향이 유력한 확장 경로가 될 수 있다. 사이버전(Cyber Warfare) 체계에서 AI가 단순 보조 도구를 넘어 핵심 전투 수단이 되는 시대가 왔고, 국방AI센터(DAC)가 이 분야 연구 과제를 우선순위에 올려야 할 이유다.

둘째, 클라우드·에이전트 생태계 주도권 싸움에서 한국 스타트업의 포지셔닝이 필요하다. 구글이 7억 5천만 달러로 자국 생태계를 키우듯, 한국 역시 방위사업청(DAPA)의 신속연구 제도와 K방산 수출금융을 결합해 국내 AI 방산 스타트업을 생태계 차원에서 육성해야 한다. LIG넥스원의 LAMD(Low Altitude Missile Defense) 저고도 요격 체계는 AI 표적 인식 모듈과 결합 시 소프트웨어 정의(SW-defined) 방공 아이템으로 진화할 수 있으며, 이는 구글식 '에이전트 마켓플레이스' 모델을 국방 조달에 적용한 사례로 발전시킬 수 있다.

셋째, AI 거품론은 역설적으로 기회다. 워런의 경고가 현실화될 경우, 과도하게 팽창했던 서방 AI 기업들의 조달 단가와 협상력이 재조정될 수 있다. KAI(한국항공우주산업)가 추진 중인 무인항공기(UAV) 자율화 체계나 현대로템의 미래형 전투차량(수리온-II 계열 플랫폼 연계)에 들어갈 AI 소프트웨어 공급망을 지금 선점하는 것이 중장기적으로 유리한 구조를 만든다.

정책 차원에서는 CISA 배제 사태가 주는 교훈이 명확하다. 국가정보원 산하 사이버안전센터와 ADD(국방과학연구소)가 고위험 AI 모델에 대한 제도적 접근권을 사전에 확보하는 협약 체계를 갖추지 않으면, 한국도 동일한 공백에 노출될 수 있다.

붕괴와 도약 사이 — 앞으로 12개월

앞으로 12개월이 분기점이 될 것으로 보인다. 거품론이 현실이 되려면 주요 AI 기업 중 하나가 실제로 재무적 압박에 놓여야 한다. 현재 공개된 수치만으로는 그 시점을 특정하기 어렵지만, 수익 전환 속도가 관건이다.

마이토스 사태는 단발성 해프닝으로 끝나지 않을 가능성이 높다. 내부자 위협과 비공인 접근이 결합된 유출 경로는 어떤 조직에서도 재현될 수 있는 구조적 취약점이기 때문이다. 앤트로픽이 공개 배포를 보류한 모델이 이미 민간 채널로 흘러나왔다는 사실은, 기술 통제와 확산 사이의 간극이 예상보다 빠르게 좁혀지고 있음을 보여준다.

흥미로운 점은, 구글의 7억 5천만 달러 투자와 워런의 경고가 동일한 날 나왔다는 것이다. 이는 현재 AI 산업이 팽창과 경고, 기회와 리스크가 동시에 공존하는 변곡점 위에 서 있음을 상징적으로 드러낸다. 이 시기를 누가 더 정교하게 읽느냐가 다음 라운드의 승자를 가를 것이다.

자주 묻는 질문 (FAQ)

Q1. 엘리자베스 워런이 AI 거품이라고 부르는 구체적인 근거는 무엇인가요? AI 기업들이 규제 감독 없는 민간 신용 펀드에서 막대한 자금을 차입하면서도 수익 성장이 지출을 따라가지 못하고 있다는 것이 핵심 근거다. 불투명한 회계 관행까지 더해져 2008년 금융위기와 유사한 구조적 리스크가 쌓이고 있다고 경고했다.

Q2. 앤트로픽 마이토스(Mythos) 모델이 일반 AI와 다른 점은 무엇인가요? 모든 주요 운영체제와 웹 브라우저의 취약점을 식별하고 실제 악용까지 가능한 사이버보안 특화 모델이다. 앤트로픽이 공개 배포를 보류할 만큼 위험도가 높아, 소수 기업·정부 기관에만 제한 공급 중이다.

Q3. CISA가 마이토스 접근에서 배제된 이유는 무엇으로 알려졌나요? 트럼프 행정부 하에서 CISA의 기관 위상이 약화된 정치적 맥락이 주요 배경으로 지목된다. 앤트로픽은 CISA를 브리핑했다고 밝혔지만, 공식 접근 제공 여부는 확인을 거부했다.

Q4. 구글 클라우드 넥스트 2026에서 발표한 7억 5천만 달러 지원 대상은 누구인가요? 구글 클라우드 파트너사 전반이 대상이며, AI 에이전트 배포를 추진하는 스타트업부터 대형 컨설팅 기업까지 포함된다. 제미나이 PoC, 클라우드 크레딧, 배포 리베이트 형태로 지원된다.

Q5. 한국 방산·AI 기업이 이번 AI 사이버보안 이슈에서 어떤 기회를 찾을 수 있나요? 군 네트워크 방호용 AI 취약점 탐지 체계 수요가 급증할 것으로 예상된다. 국방AI센터·ADD와 협력해 고위험 AI 모델 접근 제도를 선제 구축하고, 한화시스템·LIG넥스원 등이 사이버 방호 AI 모듈을 기존 체계에 통합하는 방향이 유효한 접근이다.

여러분은 마이토스처럼 공격·방어 양면에서 활용 가능한 고위험 AI 모델을 국가 사이버보안 기관이 통제해야 하는지, 아니면 민간과의 협력 체계로 관리해야 하는지, 어떻게 보십니까?

AI 시스템 실패가 금융 위기 초래할 수 있다 - Elizabeth Warren 경고