이 글은 Anthropic의 공식 발표인 Project Glasswing 내용을 바탕으로 정리했습니다.
Anthropic이 새로운 사이버보안 프로젝트 ‘Project Glasswing’를 발표했습니다. 이번 프로젝트에는 AWS, Apple, Cisco, Google, Microsoft, NVIDIA, CrowdStrike, JPMorganChase, Linux Foundation, Palo Alto Networks 등 글로벌 기업과 기관들이 함께 참여합니다.
목표는 분명합니다.
AI의 급격한 발전으로 커지고 있는 사이버 위협에 대응하기 위해, 최첨단 AI를 공격이 아니라 방어에 먼저 활용하자는 것입니다.
이번 발표의 핵심에는 아직 공개되지 않은 AI 모델 Claude Mythos Preview가 있습니다. Anthropic은 이 모델이 소프트웨어 취약점을 찾아내고 이를 악용하는 방법을 고안하는 능력에서, 극소수의 최고 수준 인간 전문가를 제외한 대부분을 능가할 정도의 성능을 보여주고 있다고 설명했습니다. 쉽게 말해, AI가 이제 단순히 코드를 작성하는 수준을 넘어, 코드의 약점을 스스로 찾아내고 실제 공격 경로까지 설계할 수 있는 단계에 접어들었다는 의미입니다.
왜 지금 사이버보안이 더 중요해졌을까
우리가 매일 사용하는 소프트웨어에는 크고 작은 버그가 존재합니다. 대부분은 별문제가 없지만, 일부는 심각한 보안 취약점으로 이어질 수 있습니다. 이런 취약점이 공격자에게 발견되면 시스템이 장악되거나, 서비스가 중단되거나, 민감한 정보가 유출될 수 있습니다.
실제로 사이버공격은 이미 기업 네트워크, 병원, 에너지 시설, 교통 인프라, 정부 기관 등 사회 핵심 영역에 큰 피해를 주고 있습니다. 국가 차원의 공격도 점점 더 빈번해지고 있고, 병원이나 학교 같은 개별 기관을 노린 공격조차 큰 경제적 피해와 안전 문제를 초래할 수 있습니다.
문제는 이제 AI가 이런 공격의 문턱을 빠르게 낮추고 있다는 점입니다. 원래 소프트웨어 취약점을 찾고 악용하려면 높은 수준의 전문성과 많은 시간이 필요했습니다. 하지만 최신 AI 모델은 코드를 읽고 이해하며, 취약점을 추론하고, 악용 가능한 경로를 찾는 데 점점 더 뛰어난 성능을 보이고 있습니다. 즉, 공격 역량이 소수 전문가의 영역에서 더 넓은 범위로 확산될 가능성이 커진 것입니다.
Claude Mythos Preview가 보여준 것
Anthropic에 따르면, Claude Mythos Preview는 지난 몇 주 동안 수천 건의 제로데이 취약점을 찾아냈습니다. 제로데이란 소프트웨어 개발자도 모르고 있던 미공개 취약점을 뜻합니다. 특히 주요 운영체제와 웹 브라우저, 리눅스 커널 같은 핵심 소프트웨어에서도 심각한 취약점을 발견했다고 밝혔습니다.
대표 사례도 공개됐습니다.
- OpenBSD에서 27년간 남아 있던 취약점을 발견했습니다. 이 취약점은 원격에서 시스템을 다운시킬 수 있는 수준이었다고 합니다.
- FFmpeg에서 16년 된 취약점도 찾아냈습니다. 이 코드는 자동화 테스트 도구가 500만 번이나 실행했지만 문제를 잡아내지 못한 부분이었다고 합니다.
- 리눅스 커널의 여러 취약점을 연결해, 일반 사용자 권한에서 시스템 완전 장악 권한으로 올라갈 수 있는 공격 경로도 스스로 찾아냈다고 합니다.
Anthropic은 이런 취약점 대부분을 사람의 별도 개입 없이 모델이 자율적으로 발견했고, 관련 유지관리자들에게 제보해 현재는 패치가 완료됐다고 설명했습니다.
왜 이 발표가 중요한가
이번 발표가 중요한 이유는 단순히 “AI가 취약점을 잘 찾는다”는 사실 때문만은 아닙니다. 더 중요한 메시지는 이것입니다.
앞으로는 AI가 공격자와 방어자 모두에게 강력한 도구가 될 가능성이 매우 크다.
그리고 지금 필요한 것은, 이 능력이 무분별하게 확산되기 전에 방어 체계를 먼저 강화하는 것입니다.
Anthropic은 바로 이 지점을 강조하며 Project Glasswing을 시작했다고 설명합니다. 참여 기업들은 Mythos Preview를 활용해 자사의 핵심 시스템과 오픈소스 인프라를 점검하고, 취약점을 더 빨리 찾고 수정하는 데 집중하게 됩니다. 또 Anthropic은 이 과정에서 얻은 교훈을 산업 전반과 공유하겠다고 밝혔습니다.
즉, 이 프로젝트는 특정 회사만의 기술 시연이 아니라, AI 시대에 맞는 새로운 보안 협력 모델을 실험하는 시도로 볼 수 있습니다.
참여 기업들이 본 현실
Project Glasswing에 참여한 여러 기업들의 반응도 인상적입니다.
Cisco는 AI 역량이 이제 핵심 인프라 보호의 긴급성을 완전히 바꿔놓았다고 평가했습니다.
AWS는 자사 보안 운영에 Mythos Preview를 시험 적용한 결과, 핵심 코드 보안 강화에 이미 도움을 주고 있다고 밝혔습니다.
Microsoft는 사이버보안이 더 이상 순수하게 인간 역량에만 의존하는 시대가 아니라고 진단했습니다.
CrowdStrike는 취약점이 발견된 뒤 공격에 활용되기까지의 시간이 “몇 달에서 몇 분” 수준으로 줄어들 수 있다고 경고했습니다.
Linux Foundation은 특히 오픈소스 유지관리자들에게 이런 AI 도구가 큰 힘이 될 수 있다고 강조했습니다.
이 메시지들을 종합하면 분명합니다. AI가 사이버보안의 속도와 규모를 바꾸고 있으며, 기존 방식만으로는 대응이 어려워지고 있다는 것입니다.
Anthropic의 계획
Anthropic은 Project Glasswing를 위해 최대 1억 달러 규모의 모델 사용 크레딧을 제공하겠다고 밝혔습니다. 여기에 더해 오픈소스 보안 단체를 위해 총 400만 달러의 기부금도 지원합니다.
프로젝트 참여자들은 Claude Mythos Preview를 활용해 다음과 같은 작업을 수행하게 됩니다.
- 취약점 탐지
- 바이너리 블랙박스 테스트
- 엔드포인트 보안 강화
- 침투 테스트
- 핵심 시스템의 약점 분석
Anthropic은 이 프로젝트가 앞으로 수개월 이상 이어질 것이며, 90일 이내에 공개 가능한 결과와 배운 점을 공유하겠다고 했습니다. 또한 AI 시대에 맞는 새로운 보안 관행, 예를 들어 취약점 공개 절차, 공급망 보안, 패치 자동화, secure-by-design 원칙 등에 대한 실질적인 권고안도 마련할 계획이라고 밝혔습니다.
하지만 일반 공개는 하지 않는다
흥미로운 점은 Anthropic이 Claude Mythos Preview를 일반에 공개할 계획은 없다고 선을 그었다는 점입니다. 그 이유도 분명합니다. 이 모델이 가진 사이버 역량이 너무 강력해, 충분한 안전장치 없이 널리 배포될 경우 위험이 크다고 판단한 것입니다.
대신 Anthropic은 앞으로 더 정교한 보호 장치를 개발해, 향후에는 이런 수준의 모델을 더 안전하게 활용할 수 있는 기반을 마련하겠다고 설명했습니다. 다시 말해, 능력을 키우는 것만큼이나 통제 장치를 만드는 것이 중요하다는 메시지입니다.
결국 이 발표가 우리에게 말하는 것
Project Glasswing은 단순한 제품 발표가 아닙니다.
이 발표는 AI가 이제 사이버보안에서 질적으로 다른 국면을 만들고 있다는 신호에 가깝습니다.
앞으로는 취약점을 찾는 일도, 이를 막는 일도, 패치를 적용하는 일도 점점 더 AI 중심으로 재편될 가능성이 높습니다. 공격자 역시 AI를 활용하게 될 것이기 때문에, 방어자들이 뒤처지지 않으려면 지금부터 새로운 도구와 협력 체계를 준비해야 합니다.
결국 핵심은 하나입니다.
AI는 사이버보안을 더 위험하게 만들 수도 있지만, 동시에 더 안전하게 만들 수 있는 가장 강력한 도구이기도 하다.
Project Glasswing은 그 힘을 먼저 방어에 쓰기 위한 시도이며, 앞으로 AI와 보안의 관계가 어떻게 재정의될지를 보여주는 중요한 출발점이라고 할 수 있습니다.
한줄 정리
Anthropic의 Project Glasswing은 초강력 AI의 취약점 탐지 능력을 방어 목적으로 먼저 활용해, AI 시대의 새로운 사이버보안 표준을 만들려는 시도입니다.
'Computer Science' 카테고리의 다른 글
| RESTful API 개요 (0) | 2024.07.03 |
|---|