앤스로픽은 자사의 가장 강력한 AI 모델인 Mythos를 제한적으로 운용하며, 구글과 마이크로소프트를 포함한 40개 이상의 파트너와 협력하여 공격자가 악용하기 전에 소프트웨어 결함을 찾아내고 있다.
뒤로
뒤로
앤스로픽의 새로운 AI, 27년 된 버그 발견하며 보안 환경 재편
앤스로픽(Anthropic)은 미출시된 최첨단 AI 모델인 '클로드 미토스 프리뷰(Claude Mythos Preview)'를 주요 소프트웨어에 투입하는 대대적인 사이버 보안 이니셔티브를 시작했다. 이를 통해 세계에서 가장 안전한 운영 체제 중 하나에서 발견된 27년 된 결함을 포함하여 수천 개의 취약점을 찾아냈다. '프로젝트 글래스윙(Project Glasswing)'으로 명명된 이 노력은 강력한 AI 기반 해킹 도구가 널리 보급되기 전에 방어자들에게 우위를 제공하기 위한 것이지만, 동시에 앤스로픽 자체의 보안 관행에 대한 엄격한 감시를 불러일으키고 있다.
앤스로픽의 프런티어 레드팀 사이버 책임자인 뉴턴 쳉(Newton Cheng)은 벤처비트(VentureBeat)와의 인터뷰에서 "AI 발전 속도를 고려할 때, 이러한 기능이 확산되는 것은 시간 문제이며, 안전한 배포를 위해 헌신하지 않는 행위자들에게까지 넘어갈 가능성이 있다"라며 "경제, 공공 안전 및 국가 안보에 미치는 파장은 심각할 수 있다"고 경고했다.
회사는 이 모델의 공개 출시를 제한하는 대신 아마존, 애플, 구글, 마이크로소프트, 리눅스 재단 등 40개 이상의 조직으로 구성된 컨소시엄에만 접근 권한을 제공하고 있다. 초기 테스트에서 앤스로픽은 미토스가 OpenBSD의 27년 된 원격 취약점과 FFmpeg 비디오 라이브러리의 16년 된 결함을 식별했다고 주장했다. 사이버짐(CyberGym) 평가 벤치마크에서 미토스 프리뷰는 83.1%를 기록했는데, 이는 차상위 모델인 클로드 오퍼스(Claude Opus) 4.6이 기록한 66.6%에서 크게 도약한 수치다.
이 이니셔티브는 사이버 보안의 경제 구조를 변화시키는 것을 목표로 하며, 수동 버그 탐지의 생존 가능성을 위협하고 소프트웨어 개발 수명 주기 내에 보안을 직접 내재화하도록 강제하고 있다. 앤스로픽이 1억 달러 규모의 모델 사용 크레딧을 지원하는 이 프로젝트는 파트너사가 잠재적 침해 비용으로 지불해야 했을 수십억 달러를 절감할 수 있게 해준다. 이는 앤스로픽의 연간 반복 매출(ARR)이 300억 달러를 넘어섰다는 보고와 맞물려 그 규모를 짐작게 한다.
취약점의 홍수
미토스가 발견한 엄청난 양의 취약점은 운영상의 과제를 제시한다. 앤스로픽은 유지 관리자에게 보고하기 전에 심각도가 높은 버그를 수동으로 검증하는 분류 파이프라인을 개발하여 무보수 오픈소스 개발자들에게 과도한 부담을 주지 않도록 노력하고 있다고 밝혔다. 또한 회사는 이러한 노력을 지원하기 위해 OpenSSF 및 아파치 소프트웨어 재단과 같은 조직에 400만 달러를 기부하고 있다.
리눅스 재단의 CEO인 짐 젬린(Jim Zemlin)은 성명을 통해 "과거에 보안 전문 지식은 대규모 보안 팀을 보유한 조직만이 누릴 수 있는 사치였다"라며 "프로젝트 글래스윙은 그 공식을 바꿀 수 있는 신뢰할 만한 길을 제시한다"고 평가했다.
이번 제한적 출시는 앤스로픽이 자체 운영 보안에 대한 의구심에 직면한 가운데 이루어졌다. 미토스의 존재는 블로그 게시물 초안이 보안되지 않은 공용 데이터 저장소에 방치되면서 처음 공개되었다. 며칠 후, 회사는 실수로 Claude Code 패키지의 소스 코드를 npm에 게시하기도 했다. 앤스로픽은 이것이 핵심 보안 아키텍처의 침해가 아닌 게시 도구상의 인적 오류라고 설명했지만, 공개하기에 너무 위험하다고 판단한 AI의 관리자로서 그 역할에 대한 의문이 제기되고 있다.
시작된 경쟁
핵심 질문은 앤스로픽의 우위가 얼마나 지속될 것인가이다. 회사 경영진은 공격자들이 몇 년이 아닌 몇 달 안에 유사한 기능을 개발할 수 있을 것으로 추정한다. 따라서 이 이니셔티브는 공격 도구가 확산되기 전에 중요 시스템을 패치하려는 경주와 같다. 마이크로소프트와 크라우드스트라이크 같은 파트너들에게 이 모델은 이미 자체 코드베이스를 강화하는 데 사용되고 있다.
이러한 움직임은 취약점 관리 및 침투 테스트 전문 기업을 포함한 보안 산업 전체에 영향을 미친다. AI가 출력 토큰 100만 개당 125달러의 비용으로 대규모 자동 탐지를 수행할 수 있게 된다면, 인력 중심의 보안 감사 비즈니스 모델은 상당한 압박에 직면하게 될 것이다. 투자자들에게 이 프로젝트는 프런티어 AI의 이중 용도 특성을 부각시킨다. 즉, 가장 큰 위험과 기회는 동전의 양면과 같다. 시장은 핵심 소프트웨어 취약점을 자율적으로 발견하고 악용할 수 있는 AI의 방어적 및 공격적 함의를 아직 가격에 반영하지 않았다.
이 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
[1] Anthropic Glasswing이 밝히는 취약점 발견의 미래 - csoonline.com[2] 앤스로픽, AI 사이버 공격을 AI로 방어하기 위한 '프로젝트 글래스윙' 시작 - Engadget[3] 앤스로픽, 자사의 가장 강력한 AI 사이버 모델이 공개하기에 너무 위험하다고 판단하여 '프로젝트 글래스윙' 구축 - VentureBeat[4] 앤스로픽, 새로운 사이버 보안 이니셔티브에서 강력한 새 AI 모델 Mythos 프리뷰 공개 - TechCrunch[5] 앤스로픽, Mythos 프리뷰 공개 및 취약점 탐지를 위한 파트너 동원 - mezha.net[6] 앤스로픽, 최신 AI 모델이 공개하기에 너무 강력하며 테스트 중 통제를 벗어났다고 밝혀 - Business Insider