[Techmeme 요약] 앤트로픽, AI '클로드 미토스 프리뷰'로 1만 개 이상 심각한 소프트웨어 취약점 발견
43
설명
인공지능(AI) 개발사 앤트로픽(Anthropic)이 자사의 최신 AI 모델 '클로드 미토스 프리뷰(Claude Mythos Preview)'를 활용한 '프로젝트 글래스윙(Project Glasswing)'의 초기 성과를 공개했습니다. 이 프로젝트는 AI가 악용되기 전에 전 세계 핵심 소프트웨어의 보안을 강화하는 것을 목표로 합니다. 단 한 달 만에 1만 개 이상의 심각한 보안 취약점을 발견하며 AI가 사이버 보안 분야에 가져올 혁신적인 변화를 예고하고 있습니다.
### 배경 설명
최근 몇 년간 인공지능(AI) 기술은 눈부신 발전을 거듭하며 우리 삶의 다양한 영역에 영향을 미치고 있습니다. 하지만 이러한 강력한 AI 모델이 악의적인 목적으로 사용될 경우, 기존의 사이버 보안 시스템을 무력화할 수 있다는 우려도 커지고 있습니다. 특히 소프트웨어의 '취약점(vulnerability)'은 해커들이 시스템에 침투하거나 데이터를 탈취하는 통로가 되기 때문에, 이를 미리 찾아내고 수정하는 것이 매우 중요합니다.
앤트로픽의 '프로젝트 글래스윙(Project Glasswing)'은 이러한 배경에서 시작되었습니다. AI가 취약점을 찾아내는 데 탁월한 능력을 발휘할 수 있음을 입증하고, 이를 통해 전 세계의 중요한 소프트웨어를 더욱 안전하게 만드는 것을 목표로 합니다. 이 프로젝트의 핵심은 앤트로픽의 최신 AI 모델인 '클로드 미토스 프리뷰(Claude Mythos Preview)'입니다. 이 모델은 기존의 인간 전문가나 다른 AI 모델보다 훨씬 빠르고 정확하게 소프트웨어 코드 내의 숨겨진 결함을 찾아내는 능력을 보여주고 있습니다.
### 클로드 미토스 프리뷰의 놀라운 취약점 탐지 성능
프로젝트 글래스윙은 시작 한 달 만에 약 50개 파트너사와 함께 클로드 미토스 프리뷰를 활용하여 1만 개 이상의 '높음(high)' 또는 '심각(critical)' 수준의 취약점을 발견했습니다. 이는 기존에 인간이 수작업으로 취약점을 찾던 속도와는 비교할 수 없는 수준입니다. 클라우드플레어(Cloudflare)는 미토스 프리뷰를 통해 2,000개의 버그(그중 400개는 심각 수준)를 찾아냈으며, 오탐율(false positive rate, 실제로는 문제가 없는데 문제라고 잘못 판단하는 비율)은 인간 테스터보다 우수하다고 평가했습니다. 모질라(Mozilla)는 파이어폭스(Firefox) 150 버전에서 271개의 취약점을 발견하고 수정했는데, 이는 이전 모델인 클로드 오푸스(Claude Opus) 4.6을 사용했을 때보다 10배 이상 많은 수치입니다. 영국 AI 보안 연구소(UK’s AI Security Institute)는 미토스 프리뷰가 다단계 사이버 공격 시뮬레이션인 '사이버 레인지(cyber range)'를 처음으로 완벽하게 해결한 모델이라고 보고했습니다.
### 오픈소스 소프트웨어 보안 강화 노력
앤트로픽은 지난 몇 달간 클로드 미토스 프리뷰를 이용해 1,000개 이상의 오픈소스 소프트웨어(open-source software) 프로젝트를 스캔했습니다. 이 프로젝트들은 인터넷의 많은 부분을 지탱하고 있으며, 앤트로픽 자체 인프라의 기반이기도 합니다. 미토스 프리뷰는 이 과정에서 6,202개의 높음 또는 심각 수준의 취약점을 발견했으며, 이 중 1,587개가 실제 유효한 취약점으로 확인되었습니다. 특히 수십억 개의 장치에서 사용되는 오픈소스 암호화 라이브러리인 'wolfSSL'에서 공격자가 가짜 인증서를 위조하여 은행이나 이메일 제공업체의 가짜 웹사이트를 호스팅할 수 있는 취약점(CVE-2026-5194)을 발견하고 수정했습니다. 이는 AI가 광범위한 소프트웨어 생태계의 보안을 근본적으로 개선할 잠재력을 보여줍니다.
### 사이버 보안의 새로운 시대와 과제
AI의 발전은 취약점 발견 속도를 기하급수적으로 높였지만, 이를 검증하고 패치(patch)를 개발하여 배포하는 인간의 역량은 여전히 제한적입니다. 현재는 취약점을 찾는 것보다 수정하는 것이 더 어려운 병목 현상이 발생하고 있습니다. 앤트로픽은 '협력적 취약점 공개 정책(Coordinated Vulnerability Disclosure policy)'에 따라 취약점 발견 후 90일 이내에 공개하고 패치를 배포할 시간을 주지만, AI가 너무 많은 취약점을 빠르게 찾아내면서 소프트웨어 개발사와 유지보수 담당자들이 과부하에 직면하고 있습니다. 일부 오픈소스 유지보수 담당자들은 너무 많은 AI 생성 버그 보고서로 인해 업무가 마비될 지경이라고 호소하며, 보고 속도를 늦춰달라고 요청하기도 했습니다. 이는 사이버 보안 생태계가 AI 시대에 맞춰 변화해야 할 필요성을 시사합니다.
### 일반인도 활용 가능한 AI 보안 도구 및 생태계 지원
앤트로픽은 기업 고객을 위해 코드베이스를 스캔하고 수정 제안을 생성하는 '클로드 시큐리티(Claude Security)' 베타 버전을 출시했습니다. 또한, 보안 전문가들이 합법적인 사이버 보안 목적으로 AI 모델을 사용할 수 있도록 '사이버 검증 프로그램(Cyber Verification Program)'을 시작했습니다. 시스코(Cisco)와 같은 파트너사들은 자체 보안 평가 시스템 구축을 돕기 위해 '파운드리 시큐리티 스펙(Foundry Security Spec)'을 오픈소스화했습니다. 앤트로픽은 오픈소스 보안 재단(Open Source Security Foundation)의 알파-오메가(Alpha-Omega) 프로젝트와 협력하여 유지보수 담당자들이 버그 보고서를 처리하는 것을 돕고 있으며, 새로운 벤치마크 개발을 지원하는 등 AI 보안 생태계 전반을 강화하기 위한 노력을 기울이고 있습니다.
### 가치와 인사이트
앤트로픽의 프로젝트 글래스윙은 AI가 사이버 보안 분야에서 단순한 보조 도구를 넘어, 취약점 탐지 및 해결의 패러다임을 바꿀 수 있는 핵심 동력임을 입증했습니다. AI는 인간의 한계를 뛰어넘는 속도와 정확도로 소프트웨어의 숨겨진 결함을 찾아내어, 전반적인 소프트웨어 품질과 보안 수준을 획기적으로 높일 잠재력을 가지고 있습니다. 하지만 동시에, AI가 발견하는 취약점의 양이 인간의 처리 능력을 초과하면서 발생하는 새로운 도전 과제도 명확히 드러났습니다. 이는 기술 발전과 함께 사회적, 제도적 대응이 동시에 이루어져야 함을 시사합니다.
### 향후 전망
AI 기반 취약점 탐지 기술의 발전은 미래 산업과 사회에 광범위한 영향을 미칠 것입니다. 첫째, **산업 전반의 보안 수준 향상**입니다. AI가 소프트웨어 개발 초기 단계부터 취약점을 찾아내 수정함으로써, 출시되는 모든 제품과 서비스의 보안이 지금보다 훨씬 강화될 것입니다. 이는 금융, 의료, 국방 등 핵심 인프라 산업의 안정성을 크게 높일 것입니다.
둘째, **개발 및 운영 방식의 변화**입니다. 소프트웨어 개발자들은 AI 도구를 활용하여 코드의 보안성을 실시간으로 검증하고, 패치 주기를 단축하며, 업데이트 배포를 더욱 효율적으로 관리하게 될 것입니다. '데브섹옵스(DevSecOps)'와 같은 보안 중심 개발 문화가 더욱 확산될 것입니다. 네트워크 방어자들은 '다단계 인증(multi-factor authentication, MFA)' 강화, 네트워크 구성 강화 등 기본적인 보안 수칙의 중요성이 더욱 커질 것입니다.
셋째, **규제 및 정책의 진화**입니다. AI가 생성하는 방대한 취약점 보고서를 처리하고, AI 모델 자체의 오용을 방지하기 위한 새로운 규제와 표준이 필요해질 것입니다. 앤트로픽이 '미토스 클래스(Mythos-class)' 모델의 일반 공개를 보류하는 이유도 강력한 안전장치 개발의 필요성 때문입니다. 정부와 국제기구는 AI 기반 사이버 위협에 대응하기 위한 국제 협력과 정보 공유를 강화해야 할 것입니다.
궁극적으로는 AI가 소프트웨어 개발의 모든 단계에서 보안을 내재화하는 '보안 내재화(security by design)' 시대를 앞당길 수 있습니다. 하지만 그 과도기에는 AI가 발견하는 취약점의 홍수 속에서 인간의 대응 역량을 강화하고, AI의 오용을 막기 위한 노력이 필수적입니다. 이러한 변화에 성공적으로 적응한다면, 해킹이 훨씬 줄어들고 중요한 코드가 지금보다 훨씬 더 안전해지는 미래를 기대할 수 있습니다.
📝 원문 및 참고
- Source: Techmeme
- Techmeme 리버: [techmeme.com](https://www.techmeme.com/260522/p32#a260522p32)
- 원문 기사: [링크 열기](https://www.anthropic.com/research/glasswing-initial-update)
---
출처: Techmeme ([Original Article](https://www.anthropic.com/research/glasswing-initial-update))
댓글 0
아직 댓글이 없습니다. 첫 댓글을 남겨 보세요.