앤스로픽, 핵심 소프트웨어 보안 '글래스윙' 파트너 150곳으로 확대

앤스로픽이 세계에서 가장 중요한 소프트웨어를 지키기 위한 협력 프로그램 '프로젝트 글래스윙'을 약 150곳의 새 조직으로 확대한다. 글래스윙 파트너와 보안 업계, 오픈소스 소프트웨어 메인테이너, 미국 정부와 수 주간 긴밀히 협력한 결과로, 새로 합류하는 조직은 모두 앤스로픽의 보안 요건을 충족해야 접근 권한을 얻는다.

프로젝트 글래스윙은 올해 4월 초 약 50곳의 초기 파트너가 '클로드 미토스 프리뷰' 모델에 접근하면서 시작됐다. 이들은 그동안 이 모델을 자사 코드베이스에 적용해 취약점을 탐색해 왔으며, 지금까지 심각도가 높거나 치명적인 보안 결함을 1만 건 넘게 찾아냈다.

새로 합류하는 조직들은 15개국 이상에 분포하며, 대부분은 훨씬 더 많은 곳에 핵심 인프라를 제공한다. 이번 확대로 전력, 수도, 의료, 통신, 하드웨어처럼 초기 그룹에서 잘 대표되지 않았던 산업이 포함됐다. 또한 신규 파트너 상당수는 정부를 비롯한 수많은 조직이 의존하는 코드베이스를 유지하는 기업이나 비영리 단체 등 공급업체다.

이들 파트너의 공통점은 코드베이스가 공격당했을 때 그 피해가 파국적일 수 있다는 점이다. 앤스로픽은 대부분의 파트너에 대해 대규모 공격이 발생하면 1억 명이 넘는 사람에게 영향을 미칠 수 있으며, 세계 및 국가 안보에도 중대한 파장을 남길 수 있다고 추정했다.

앤스로픽은 값싸고 빠르면서 강력한 사이버 역량을 갖춘 AI 모델이 곧 등장할 것으로 보고, 글래스윙이 이런 현실에 맞는 운영 규범을 제도적으로 끌어내길 바란다고 밝혔다. 앞으로 6개월에서 12개월 안에 다른 여러 AI 기업도 미토스급 모델을 갖게 되고, 오용을 막는 안전장치 없이 이를 공개할 수 있다는 경고도 함께 내놨다. 그럴 경우 사이버 공격은 훨씬 자주, 훨씬 예측하기 어려운 형태로 일어날 수 있다.

이를 지원하기 위해 앤스로픽은 클로드 오퍼스 4.8 같은 최신 공개 프런티어 모델을 활용해 코드베이스를 점검하고 패치를 제안하는 제품 '클로드 시큐리티'를 최근 선보였다. 또한 신뢰할 수 있는 보안 팀에는 요청을 받아, 글래스윙 파트너가 취약점을 더 빠르게 찾도록 자체 개발한 도구를 제공하고 있다.

앤스로픽은 자사의 역할을 두 가지로 본다. 하나는 더 나은 모델과 도구, 공통 인프라에 폭넓은 접근을 안전하게 제공해 소프트웨어 업계의 적응을 돕는 것이고, 다른 하나는 지원의 무게중심을 취약점 발견에서 공개와 수정, 패치 배포로 옮기는 것이다. 실제로 다수의 파트너가 미토스 프리뷰로 패치를 작성하고, 취약점이 애초에 생기지 않도록 출시 전 점검에 활용하고 있다. 이 모델은 모의 침투 테스트, 위협 탐지와 대응 자동화, 레거시 코드베이스를 메모리 안전 언어로 재작성하는 작업 등 다양한 방어 업무에도 쓰일 수 있다.

다만 미토스급 역량을 일반에 안전하게 공개하려면 모델의 사이버 역량이 오용되는 것을 막는 매우 견고한 안전장치가 필요한데, 앤스로픽은 자사를 포함한 어떤 AI 개발사도 아직 이를 갖추지 못했다고 인정했다. 사이버보안은 방어와 공격 양쪽에 모두 쓰일 수 있어, 강력하면서도 정밀한 안전장치를 만드는 일이 큰 과제라는 것이다. 그동안 앤스로픽은 핵심 인프라 제공자와 오픈소스 메인테이너를 우선으로 글래스윙을 더 넓히고, 특정 사이버방어 작업에 한해 미토스급 역량을 더 많은 조직에 부여하는 '사이버 검증 프로그램'도 확대할 계획이다. 목표는 방어자에게 영속적인 우위를 안기는 것이다.