Epoch AI가 집계한 2026년 6월 보안 취약점 보고량은 이상치에 가깝다. 21개 조직이 약 1,500건의 high severity 및 critical CVE를 보고했다. 이전 월간 기록보다 3.5배 이상 많은 수치다. 보안 업계에서 신고량이 늘어나는 일은 흔하지만, 이 정도의 급증은 단순한 통계 흔들림으로 보기 어렵다.
증가 시점도 의미심장하다. 2026년 4월 Anthropic은 Claude Mythos Preview를 발표하면서 모델이 소프트웨어 취약점을 스스로 찾을 수 있다고 밝혔다. 회사에 따르면 신뢰된 파트너들은 공개 전부터 이 모델을 이용해 버그를 찾고 수정했다. Anthropic의 Glasswing 프로그램은 지금까지 high severity 또는 critical 취약점 1만 건 이상을 찾아냈고, 일부는 아직 공개되지 않았다. OpenAI의 Daybreak 역시 이 흐름에 영향을 주는 프로그램으로 언급된다.
이 변화는 보안 연구의 성과이면서 동시에 운영 문제다. AI가 취약점을 더 빨리 찾으면, CVE 접수와 검증, 중복 제거, 공개 시점 조율, 벤더 패치, 고객 공지까지 이어지는 전 과정도 같은 속도를 요구받는다. 발견 단계만 자동화되고 나머지가 그대로라면 병목은 뒤쪽으로 이동한다.
특히 high severity와 critical 취약점은 처리 방식이 민감하다. 모든 발견을 즉시 공개할 수도 없고, 그렇다고 오래 묵혀둘 수도 없다. 악용 가능성, 패치 준비도, 영향을 받는 제품 범위, 이미 공격에 쓰였는지 여부를 함께 봐야 한다. AI 기반 헌팅이 늘어날수록 보안팀은 모델 성능보다 우선순위 결정 체계와 공개 전 정보 통제를 더 자주 시험받게 된다.
그래서 이번 숫자는 "AI가 버그를 잘 찾는다"에서 끝나는 뉴스가 아니다. 앞으로 조직은 취약점 탐지를 구매하는 순간, 그 뒤에 붙는 triage와 remediation 파이프라인까지 같이 설계해야 한다. AI가 사냥꾼이 되면 인간 팀의 일은 줄어드는 게 아니라 모양이 바뀐다. 더 적게 찾는 시대의 프로세스로는 더 많이 발견되는 시대를 감당하기 어렵다.