유럽 중앙은행 (ECB)은 2026년 5월 25일 주간에 유로존 내 감독된 은행들을 소집하여 AI 기반 모델, 특히 Project Glasswing 프로그램에 통합된 Anthropic의 도구 Mythos에 관련된 사이버 보안 위험을 논의했습니다. 2026년 5월 22일 현재, 유럽 연합과 Anthropic 간의 유럽 은행들의 Mythos 접근에 관한 협상은 교착 상태에 빠져 있으며, Crypto Briefing이 보고한 바와 같이, 프랑크푸르트에서 감독하는 금융기관들은 미국 경쟁사들과 동일한 소프트웨어 취약점에 노출되어 있지만, ECB가 이제 그들의 사이버 보안 자세에 통합하라고 요구하는 탐지 도구는 이용할 수 없습니다. 2025년 1월 17일부터 적용된 DORA 규정은 조화된 ICT 위험 관리 프레임워크를 부과하지만, 제3자 공격적 AI 도구에 대한 주권적 접근을 보장하지 않습니다. 유럽 감독 당국은 자금 조달 수단이 없는 상황에서 그들의 행동을 요구하고 있습니다. "우리가 은행들과 수년간 함께 작업해 온 일련의 사이버 보안 문제들이 있으며, 이들 모두 여전히 유효합니다. 그러나 AI의 발전을 고려할 때, 이 문제들은 더 신속하게 처리되어야 합니다" (자유 번역),라고 Financial Times에 Frank Elderson, ECB 이사회 멤버이자 2028년 12월 14일까지 감독 이사회 부회장이 말했습니다. 이 도구는 주로 미국 기업들로 이루어진 약 40개의 조직에만 예약되어 있으며, 어떤 유럽 은행도 목록에 포함되지 않았습니다.
취약점 착취 주기의 가속화
Elderson이 강조한 긴급성은 Mythos가 공격과 방어 간의 운영적 균형을 변화시킨다는 데 있습니다. 이 도구는 은행 시스템 내에서 수천 개의 제로데이 취약점을 탐지할 수 있으며, 이는 The Next Web이 FT와의 Elderson 인터뷰를 바탕으로 보도한 내용입니다. 감독 이사회 부회장은 소프트웨어 패치가 이제 몇 주가 아닌 30분 만에 역설계될 수 있다고 밝혔습니다. 패치 발표와 수정된 취약점을 악용하는 무기 간의 지연 시간이 단축되면서, 수정의 역학이 질적으로 변화했습니다: 패치가 배포된 후 기관이 취약한 상태로 남아 있는 창이 크게 줄어들었습니다. 공식적인 Anthropic 목록에 따르면, 프로그램의 출시 파트너에는 AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia, Palo Alto Networks 등 주로 북미 기업들이 포함되어 있습니다. Reuters는 미국 은행들이 접근 권한을 통해 긴급한 수정을 시행하고 있으며, 이는 고객에게 서비스 중단을 초래할 수 있다고 문서화했습니다. 미국 통합 금융기관과 프로그램에 참여하지 않는 유로존 은행 간의 접근 비대칭성은 현재로서는 사실일 뿐입니다.
소프트웨어 패치는 이제 30분 만에 역설계될 수 있습니다 - 이는 이전에는 몇 주가 걸렸던 것입니다.
ECB 이사회 멤버 Frank Elderson, Financial Times 인용 (The Next Web에 의해 2026년 5월 25일 보도됨).
DORA는 의무를 부과하지만, 수단은 제공하지 않는다
ECB가 작동시키는 프레임워크는 2022년 12월 14일에 제정된 금융 부문의 디지털 운영 회복력에 관한 유럽 규정 2022/2554, 일명 DORA에 의해 마련된 것이며, 이는 2025년 1월 17일부터 시행되었으며, 20여 개의 금융 엔티티 범주에 대해 경과 기간 없이 적용됩니다. 그 조항 5에서 16은 정보통신기술(ICT) 위험 관리에 대한 조화된 프레임워크를 부과하고, 조항 26은 위협 기반 침투 테스트 (TLPT)를 조직합니다. 그러나 이 규정의 어떤 조항도 제3자 공격적 AI 도구에 대한 유럽 주권적 접근을 보장하지 않습니다 - 이 점은 본문을 읽음으로써 문서화할 수 있습니다. ECB 은행 감독의 연례 보고서 2025에 따르면, 단일 감독 메커니즘(SSM)은 물리적 ICT 약점이 발견될 때 강제 조치를 취할 수 있습니다: 이 보고서는 그러한 경우 감독자가 이정표, 마감일 및 전용 리소스가 포함된 수정 계획을 요구할 수 있음을 상기시킵니다. 공격 테스트 측면에서, TIBER-EU 프레임워크 (Threat Intelligence-Based Ethical Red-teaming, 유럽의 공격 테스트 프레임워크)는 DORA에 맞춰 업데이트되어 조항 26 DORA에 맞춘 침투 테스트의 수행을 규제합니다. 그러나 이러한 도구들은 은행의 수행을 규제할 뿐, ECB가 오늘날 은행들에게 통합하라고 요구하는 탐지 도구를 제공하지 않습니다.
미국의 6주 선례, 유럽 부문 당국의 침묵
ECB의 소집은 대서양 건너편에서의 유사한 이니셔티브 이후 6~7주 후에 이루어졌습니다. AOL에 의해 인용된 Reuters에 따르면, 2026년 4월 7일, 재무장관 Scott Bessent와 연방준비제도 이사회 의장 Jerome Powell은 워싱턴에서 Citigroup의 Jane Fraser, Morgan Stanley의 Ted Pick, Bank of America의 Brian Moynihan을 포함한 미국 체계적 은행의 수장들을 소집하여 비공개 긴급 회의를 개최했습니다. 미국의 선행은 우수한 규제 프레임워크에 기반하지 않습니다: NIST Cyber AI Profile, AI 위험 관리 프레임워크 1.0에 기반한 것은 자발적 프레임워크이며, 미국 은행 부문은 Mythos에 대한 "접근 권한"을 갖고 있지 않습니다. 워싱턴과 프랑크푸르트 간의 비대칭성은 Project Glasswing의 범위에 대한 Anthropic의 상업적 결정에 따른 것이며, 규범의 위계에 따른 것이 아닙니다. 유럽 부문 당국 측에서는, 유럽 은행 당국(EBA)과 유럽 연합 사이버 보안 기관(ENISA)은 2025-2026년 동안 Mythos 유형의 공격적 AI에 대한 구체적인 지침을 아직 발표하지 않았습니다 - DORA에 맞춰 2025년에 개정된 EBA의 ICT 위험 관리 가이드라인은 Mythos 유형의 공격적 AI를 구체적으로 다루지 않습니다. 규정 2022/2554의 조항 26에 걸림돌이 있습니다: 이는 위협 정보에 기반한 침투 테스트(TLPT)를 조직하지만, 테스트된 엔티티에 필요한 도구에 대한 주권적 접근을 감독자에게 보장하지 않습니다 - 이는 DORA나 2024년에 유럽 감독 당국이 채택한 규제 기술 표준으로도 해결되지 않은 공백입니다.
ActuIA 시선:
프랑크푸르트는 프레임워크를 갖고 있지만, 도구는 없습니다. 5월 25일 소집이 부과하는 해석은 ECB가 수정 계획, 이정표, TIBER-EU에 맞춘 침투 테스트를 요구할 수 있지만, Anthropic이 북미 지역의 40여 개의 참여자에게만 접근을 허용하는 취약점 탐지기를 감독된 은행들에게 제공할 수 없다는 것입니다. 감독 압박은 현실적이지만, 운영적 수단은 다른 곳에 있습니다. 이 진단은 새로운 것이 아닙니다: 2025년 10월에 발표된 ENISA 위협 환경 2025는 이미 공격적 AI의 전문화 (Xanthorox AI 및 유사 제품)와 유럽 연합 차원의 취약점 착취 주기의 가속화를 문서화했지만, 주권적 산업적 대응은 따르지 않았습니다. 감독된 기관들의 리스크 및 사이버 부서들은 2026년 6월에 예정된 FSB 보고서 전에 수행해야 할 작업이 구체적입니다: 유럽 측에서 실제로 이용 가능한 탐지 능력과 ECB의 감독 기대치 간의 차이를 지금부터 문서화하는 것입니다 - 이러한 차이만이 점검 시 보호 역할을 할 것입니다.