앤스로픽, 클로드 미토스로 고위험 취약점 1만 건 이상 발견

AI로 소프트웨어 보안을 스캔한다

앤스로픽은 프로젝트 글래스윙(Project Glasswing)을 통해 자사 AI 모델 클로드 미토스 프리뷰(Claude Mythos Preview)를 활용, 전 세계 핵심 소프트웨어 인프라에서 고위험 또는 치명적 보안 취약점 1만 건 이상을 찾아냈다고 밝혔습니다.

이 프로젝트에는 AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks 등 약 50개 파트너사가 참여했습니다. 앤스로픽은 프로젝트 글래스윙 공식 페이지에서 초기 성과를 공개했습니다.

무엇이 달라지는가

기존 소프트웨어 보안 점검 방식은 사람이 직접 코드를 리뷰하거나, 알려진 패턴을 기반으로 자동화 도구를 쓰는 방식이 주류였습니다. 이번 사례는 AI가 코드의 맥락을 이해한 상태에서 잠재적 취약점을 찾아내는 방식을 보여준다는 점에서 주목받고 있습니다.

앤스로픽은 이제 보안의 병목이 취약점을 '발견'하는 단계에서 '검증·공개·패치'하는 단계로 이동했다고 설명합니다. 발견 자체보다 발견 후 처리 체계가 더 중요해졌다는 의미입니다.

개발팀이 알아야 할 것

이번 발표가 시사하는 실질적인 의미는 두 가지입니다.

첫째, AI 보안 스캔이 강력해졌다고 해서 결과를 바로 신뢰하면 안 됩니다. 발견된 취약점은 사람이 검증하고, 책임 있는 공개(Responsible Disclosure) 절차를 거쳐 패치로 이어지는 운영 체계가 필요합니다.

둘째, 취약점 발견 속도가 빨라질수록 패치 우선순위 결정과 검증 인력의 중요성이 높아집니다. 발견이 많아질수록 어떤 것을 먼저 처리할지 판단하는 역량이 핵심이 됩니다.

앞으로의 흐름

AI를 이용한 자동 보안 분석은 여러 기업과 연구 기관이 시도하고 있는 분야입니다. 구글 프로젝트 제로(Project Zero)팀도 AI 활용 취약점 발견 연구를 진행 중이며, 마이크로소프트 역시 AI 기반 보안 도구를 자사 제품에 통합하고 있습니다.

이번 앤스로픽의 발표는 대형 언어 모델(LLM)이 보안 분야에서 실질적인 성과를 내기 시작했다는 신호로 읽힙니다. AI가 공격과 방어 양쪽에 모두 쓰이는 흐름이 본격화되고 있습니다.