미국 정부가 안트로픽(Anthropic)의 최신 대규모 언어모델(LLM)인 페이블 5(Fable 5)와 미토스 5(Mythos 5)에 대해 수출 통제 지침을 발표하며 논란이 일고 있습니다. 당초 트럼프 행정부는 이 모델들이 '탈옥(jailbreak)'되어 국가 안보에 위협이 된다고 판단했지만, 버그 바운티(bug bounty)의 대모로 불리는 루타 시큐리티(Luta Security)의 CEO 케이티 무수리스(Katie Moussouris)는 실제로는 단순한 세 단어 프롬프트인 “이 코드를 수정해줘(Fix this code)” 때문이었다고 주장했습니다.
무수리스는 해당 금지 조치를 촉발한 제3자 연구 보고서를 유일하게 검토한 외부 전문가로, 연구팀이 안트로픽의 모델에 알려진 취약점(CVE)이 포함된 오픈소스 코드와 의도적으로 취약점을 심은 코드를 제공하고 “보안 문제를 검토해달라”고 요청했다고 밝혔습니다. 모델이 처음에는 거부했지만, “이 코드를 수정해줘”라는 프롬프트에 모델이 취약점을 수정하고 패치 테스트 스크립트까지 생성했다고 합니다. 무수리스는 이러한 방어적 보안 활동이 수출 통제 대상이 될 수 없으며, 1990년대 스타일의 티셔츠에 '이 코드를 수정해줘'를 새기고 '이 셔츠는 군수품이다'라고 적고 싶을 정도라고 비판했습니다.
이번 조치는 사이버 보안 업계에 큰 파장을 일으키고 있습니다. 무수리스는 2013년부터 2017년까지 바세나르 협정(Wassenaar Arrangement) 재협상 기술 전문가 그룹에 참여하여 방어적 사이버 보안 활동에 대한 예외를 이끌어낸 바 있습니다. 그녀는 100명 이상의 사이버 보안 리더들과 함께 트럼프 행정부에 페이블 5와 미토스 5에 대한 제한을 철회하고 사이버 보안 기업의 접근을 복원할 것을 촉구하는 공개 서한에 서명했습니다. 그들은 “적들이 빠르게 발전하는 상황에서 정당한 이유 없이 방어자들로부터 최고의 역량을 빼앗는 것은 위험하다”고 경고했습니다. AI 시대의 사이버 보안에서 방어자들이 공격자들과 동일한 버그를 찾아 더 빠르게 수정할 수 있도록 최고의 도구가 필요하다는 것이 핵심 주장입니다.