기술·AI — 2026년 4월 13일
달의 뉴스레터
AI가 취약점을 찾는 비용은 이제 커피 두 잔이다
4월 8일, Anthropic은 Claude Mythos Preview를 공개하며 사이버보안 세계를 흔들었다. 이 모델은 FreeBSD의 17년 된 NFS 서버 결함을 홀로 찾아내 원격으로 루트 접근 권한을 탈취했다. 비용은 50달러. OpenBSD에서는 27년 된 버그를, FFmpeg에서는 16년 된 결함을 찾아냈다. Firefox를 대상으로 한 테스트에서 이전 모델이 수백 번 시도해 2번 성공한 익스플로잇을 Mythos는 181번 성공시켰다. Anthropic은 이 모델이 발견한 취약점이 “수천 개”이며, 그 중 99%가 아직 패치되지 않았다고 밝혔다.
Anthropic이 이것을 어떻게 발표했는지에 주목해야 한다. 이 모델은 3월 26일 데이터베이스 설정 오류로 이미 세상에 노출됐다. Anthropic이 4월 7일 Project Glasswing이라는 이름으로 발표한 것은 주도적 투명성이 아니라, 이미 새어나간 정보를 먼저 정의할 마지막 기회였다. AWS, Apple, Google, Microsoft, JPMorgan, CrowdStrike 등 약 40개 기관이 방어 목적으로만 이 모델에 접근할 수 있다. 나머지 세계는 아직 이 도구 없이 같은 취약점들을 안고 있다.
왜 지금인가. OpenAI가 4월 6일 산업정책 블루프린트를 발표한 바로 다음 날, Anthropic은 이 발표를 했다. AI 뉴스 사이클에서 하루 차이는 우연이 아니다. OpenAI가 “우리는 노동자 편”이라는 온화한 서사를 심으려는 날, Anthropic은 “AI는 이미 역사상 가장 강력한 사이버무기”라는 서사로 덮었다. 이미 예정된 정보 공개를 두 회사 모두 최적의 타이밍에 배치했다.
실제로 무슨 말인가. 취약점 발견 비용이 $50으로 내려갔다는 것은 사이버보안의 경제학을 통째로 바꾼다. 지금까지 제로데이 하나를 찾는 데는 고급 보안 연구자가 수개월을 써야 했다. 그 비용이 커피 두 잔으로 압축되면, 공격자의 도구 비용은 방어자의 도구 비용보다 훨씬 빠르게 내려간다. 9일에는 OpenAI도 “Trusted Access for Cyber”라는 이름으로 유사 프로그램 개발 계획을 발표했다. 벤치마크 전쟁이 시작됐다.
달의 의심. “수천 개 취약점 중 99%가 아직 패치되지 않았다”는 말은 두 가지로 읽힌다. 하나는 “우리는 책임 있게 공개를 미루고 있다”는 투명성 신호다. 다른 하나는 “우리만 수천 개의 미공개 제로데이를 알고 있다”는 뜻이다. Anthropic이 Glasswing을 통해 누가 이 기술에 합법적으로 접근할 수 있는지를 정의하는 기관이 되면, Project Glasswing은 사이버보안의 해자(moat)가 된다. 방어한다고 공표했지만, 실질적으로는 경쟁사가 유사 모델을 출시할 경우 “Anthropic 검증 없는 위험 모델”로 낙인찍힐 수 있는 구조가 완성됐다. Anthropic 자체 측정 수치(Firefox 181회, OSS-Fuzz tier-5 10건)에 독립적 검증이 없다는 점도 기억해야 한다.
어디로 가는가. 달이 가장 무게를 두는 것은 “99% 미패치”다. 취약점 발견 속도가 패치 생태계가 처리할 수 있는 속도를 넘어섰다. 이 불균형이 3개월 안에 대규모 익스플로잇 사건으로 연결되면, Anthropic은 방어 도구를 만들었다고 주장하더라도 취약점 목록을 만든 책임에서 자유롭기 어렵다. 반대로 이 사건 없이 Glasswing 파트너들이 실제로 대규모 패치 작업을 완료하면, “AI가 먼저 발견하고 먼저 고친다”는 서사가 성립할 수도 있다. 달은 전자 — 패치 생태계 붕괴 시나리오 — 에 무게를 둔다. 패치 속도는 Anthropic이 통제할 수 없고, OS 벤더들의 속도는 역사적으로 느리다. 지난주 달루나 기술·AI 섹션에서 다뤘던 AI 연구자 귀환 이슈와 마찬가지로, AI 슈퍼사이클의 속도에 대한 저항은 이제 사이버 공간에서도 가시화되고 있다.
출처: The Hacker News | 2026-04-08
뉴딜을 외치면서 뉴딜을 막는 회사
4월 6일, OpenAI는 13쪽의 정책 문서를 발표했다. 제목은 “지능화 시대를 위한 산업 정책”. 내용은 로봇세, 공공부 펀드, 4일 근무제, 인간 중심 일자리 투자다. 알트먼은 지금의 상황을 산업혁명과 진보 시대의 전환점에 비유하며 뉴딜 수준의 사회 계약이 필요하다고 말했다. 같은 날, 뉴요커가 알트먼에 대한 1년 6개월간의 조사 결과를 발표했다. 두 기사가 같은 날 세상에 나왔다.
4일 뒤인 4월 10일, 20세 청년 Daniel Alejandro Moreno-Gama가 알트먼의 샌프란시스코 자택에 화염병을 던졌다가 체포됐다. 그는 AI 종말론을 주제로 한 Discord 커뮤니티 PauseAI의 회원이었고, 닉네임은 《듄》의 반AI 반란에서 따온 것이었다. 다행히 아무도 다치지 않았다. 알트먼은 그날 아침 “AI를 둘러싼 불안이 정당하다”고 썼다. 그 문장이 달에게는 이 뉴스에서 가장 긴 여운으로 남는다.
왜 지금인가. 뉴요커 발행일은 언론계에서 사전에 알려진다. OpenAI가 몰랐을 가능성은 없다. “OpenAI CEO가 신뢰할 수 없다”는 기사와 “OpenAI CEO가 노동자 편에 선 개혁가다”라는 기사를 같은 날 소화하도록 미디어에 강제한 것이다. 13쪽 블루프린트는 정책 문서이기 전에 서사 전쟁의 무기였다.
실제로 무슨 말인가. 블루프린트 내 여론조사 수치들 — 미국인 80%가 AI 발전 속도에 우려, 55%가 AI가 사회에 해악, 70%가 일자리 감소 예상 — 은 원출처가 없다. 어떤 기관이 언제 조사했는지 각주도 없다. 공개 정책 문서로는 이례적이다. 동시에 OpenAI가 운영하는 정치 활동 위원회 Leading the Future PAC은 AI 안전 규제 법안을 발의한 후보를 낙선시키는 데 1억 2,500만 달러를 사용했다. California SB 53에서는 공개적으로 지지하면서 비공개로 핵심 조항 면제를 요청했다. 로봇세를 공개적으로 제안하는 회사가 동시에 로봇세를 막는 로비를 하고 있다.
달의 의심. 블루프린트의 5개 제안은 모두 연방 레벨에서만 실행 가능하다. 로봇세도, 공공부 펀드도, 4일 근무제도 — 연방 정부가 집행해야 작동한다. 이것은 주(州) 단위 AI 규제 — OpenAI가 실제로 막고 있는 것들 — 를 연방법으로 대체하는 논리적 틀을 미리 깔아두는 작업이다. “우리가 더 크고 좋은 솔루션을 제안했으니, 뉴욕·캘리포니아의 개별 법안은 불필요하다”는 논증이 된다. 화염병 사건은 이 구도에 피해자 서사를 추가했다. “우리가 노동자를 위한 정책을 제안했더니 공격받았다”는 프레임 안에서, 블루프린트의 정치적 비판자들은 자동으로 불편한 위치에 놓인다. 이것이 의도된 것인지 우연인지는 달도 모른다. 하지만 이 구조가 작동한다는 것은 안다.
어디로 가는가. 진짜 전쟁터는 연방 대 주(州)의 AI 규제 전선이다. 블루프린트가 제안하는 연방 프레임워크가 구체화되면, OpenAI가 이미 막고 있는 주 단위 법안들의 정당성이 약해진다. 달이 무게를 두는 방향은 “이 블루프린트의 제안들이 실제로 입법화될 가능성은 낮다”는 것이다. 로봇세는 트럼프 행정부가 실행할 정책이 아니다. 대신 이 문서는 “우리는 해결책을 제시했다, 정치가 막고 있다”는 알리바이로 기능한다. 이 판단이 틀리는 조건은 하나다 — Leading the Future PAC이 실제로 RAISE Act 같은 법안을 지지하는 후보에 자금을 쓰기 시작한다면.
출처: SF Standard | 2026-04-12
코드를 모르는 사람들이 앱을 만들기 시작했다 — Apple이 전쟁을 선포했다
2026년 1분기, App Store에 제출된 신규 앱은 235,800개였다. 전년 동기 대비 84% 증가다. 10년 만에 최고치다. 배경은 Anthropic의 Claude Code와 OpenAI의 Codex 같은 AI 코딩 도구다. “바이브 코딩”이라고 불리는 이 방식은 코드를 전혀 모르는 사람도 원하는 것을 말로 설명하면 앱이 만들어지는 환경을 만들었다. 전 Tesla AI 책임자 Andrej Karpathy가 2025년 2월 처음 이 단어를 쓴 지 1년 만에, 앱스토어 생태계의 속도가 바뀌었다.
Apple은 3월부터 Replit과 Vibecode의 업데이트를 차단하기 시작했고, 앱 ‘Anything’을 3월 30일 삭제했다. 명분은 앱 심사 가이드라인 2.5.2 — 심사 완료 후 앱의 기능을 변경하는 코드를 실행하면 안 된다는 조항이다. AI 코딩 도구들은 사용자 기기에서 실시간으로 새 코드를 생성하기 때문에 이 조항에 걸린다. Replit은 2022년부터 동일한 기능으로 App Store에 있었고, 100번 이상 업데이트 심사를 통과했다. Apple은 지금 새로운 규칙을 만든 것이 아니라 오래된 규칙을 선택적으로 집행하기 시작했다. 그 시점이 Apple이 Xcode에 Claude와 OpenAI Codex를 내장한 직후다.
왜 지금인가. 2026년 2월 3일, Apple은 Xcode 26.3에 AI 코딩 기능을 탑재했다. 두 달 뒤, 동일한 기능을 제공하던 경쟁 앱들이 차단됐다. 이것은 “품질 심사”가 아니다. Apple이 경쟁 모델을 자체 생태계에 먼저 정착시킨 다음 외부 경쟁자를 차단하는 순서다. EU DMA(디지털 시장법)가 집행을 강화하고 있는 2026년 봄, 유럽에서 개방을 강요받는 시기에 미국에서 통제를 강화하고 있다.
실제로 무슨 말인가. 84% 수치의 인과관계는 완전히 확인된 것이 아니다. Sensor Tower 데이터를 The Information이 독자적으로 산출한 수치이며, 방법론은 유료 구독자에게만 공개된다. 그러나 추세 자체는 분명하다. Cursor는 현재 기업가치가 293억 달러에 ARR 20억 달러 이상을 넘었다. Lovable은 약 400억 달러 ARR로 Series B를 완료해 기업가치 66억 달러가 됐다. Replit은 2025년 매출이 약 3억 달러에 달했다. 이 세 기업은 새로운 종류의 소프트웨어 생태계를 만들고 있다.
달의 의심. Apple이 두려워하는 것은 보안이 아닐 수 있다. 바이브 코딩이 성숙하면 “앱을 만들어 App Store에 올린다”는 개념 자체가 낡아진다. 에이전트가 직접 웹에서 서비스를 배포하고 사용자가 URL로 접근하는 세계에서, App Store의 30% 수수료와 큐레이션 권력은 의미를 잃는다. Apple이 차단하는 것은 바이브 코딩 앱이 아니라, 플랫폼 통제권이 무의미해지는 미래다. 이것이 과장된 분석이 아닌 이유는 — Cursor와 Lovable이 iOS 앱 없이도 이미 수십억 달러 기업이 됐기 때문이다.
어디로 가는가. 이 주 안에 EU DMA 집행팀이 움직이면 Apple은 빠르게 입장을 바꿀 것이다. 미국 당국이 침묵하면 차단이 굳어지고, Replit·Vibecode는 웹 우선 전략으로 피벗한다. 달이 무게를 두는 방향은 후자다 — Apple의 차단이 단기적으로 유지되면서, 영향받은 스타트업들이 App Store 의존도를 줄이는 방향으로 빠르게 이동하는 시나리오. 이것이 장기적으로는 Apple이 가장 두려워하는 결과가 된다. 이 판단이 틀리는 조건은 EU나 미국 반독점 당국이 이 사안에 빠르게 개입하는 경우다.
출처: The Next Web | 2026-04-07
달의 결론
세 뉴스는 하나의 구조 위에 있다. AI가 만들어내는 과잉 — 취약점 발견, 앱 제출, 자동화 속도 — 이 기존 시스템이 처리할 수 있는 속도를 넘어섰다. 그리고 각 기존 시스템은 같은 방식으로 대응하고 있다. 과잉을 먼저 정의하고, 그 정의권을 독점하고, 과잉의 리스크는 외부로 돌린다. Anthropic은 취약점 목록을 쥐고 Glasswing 파트너 명단을 만든다. OpenAI는 규제 서사를 장악하면서 실제 규제를 막는다. Apple은 심사 기준을 선택적으로 집행해 자신의 도구만 남긴다. 이것이 2026년 2분기 기술 세계의 진짜 경쟁이다 — 기술이 아니라 규칙을 정의하는 권력의 전쟁. 달이 보기에, 이 싸움의 가장 큰 변수는 EU DMA다. 유럽이 Apple을 무너뜨리면 다른 두 싸움의 지형도 바뀐다. X가 EU 집행이면 Y는 플랫폼 전체가 흔들린다. Z가 미국 침묵이면 W는 세 기업 모두 현재 구도에서 이긴다.
이 뉴스레터는 특정 금융상품의 매수·매도를 권유하지 않습니다.
모든 투자 판단과 그에 따른 결과는 전적으로 독자 본인에게 있습니다.
달의 뉴스레터 | 기술·AI
이 흐름을 매일 같이 따라오고 싶으시면, 텔레그램에서 먼저 만날 수 있어요. → 달루나 채널
달 드림 · dal.lunar.moon@gmail.com