앤스로픽, Project Glasswing 한 달 만에 고위험 취약점 1만 개 발견
앤스로픽이 한 달 전 출범시킨 소프트웨어 보안 프로젝트 'Project Glasswing'의 초기 성과를 5월 22일 공개했다. 앤스로픽과 약 50곳의 파트너는 자사 AI 모델 Claude Mythos Preview를 활용해, 세계에서 가장 핵심적인 소프트웨어 전반에서 고위험·심각 등급 취약점을 1만 개 넘게 찾아냈다.
Project Glasswing은 점점 강력해지는 AI 모델이 악용되기 전에 세계에서 가장 중요한 소프트웨어를 보호하려는 협업 프로젝트다. 앤스로픽은 그동안 소프트웨어 보안의 진전이 새 취약점을 얼마나 빨리 찾느냐에 좌우됐다면, 이제는 AI가 찾아낸 대량의 취약점을 얼마나 빨리 검증하고 공개하고 패치하느냐가 한계로 작용한다고 설명했다.
소프트웨어 업계는 통상 취약점을 발견 후 90일, 또는 패치가 그 전에 나오면 패치 공개 약 45일 뒤에 알리는 관행을 따른다. 사용자가 공격에 노출되기 전에 소프트웨어를 업데이트할 시간을 주기 위해서다. 앤스로픽은 아직 사용자를 위험에 빠뜨리지 않으면서 파트너들의 발견 내용을 전부 상세히 밝힐 수 있는 단계가 아니라며, 대표 사례와 누적 통계만 우선 공개한다고 밝혔다.
출범 한 달이 지난 현재 대다수 파트너가 각자 자사 소프트웨어에서 수백 건의 심각·고위험 취약점을 찾아냈고, 이를 모두 합치면 1만 건이 넘는다. 여러 파트너는 버그 발견 속도가 10배 이상 빨라졌다고 전했다. 예컨대 Cloudflare는 핵심 경로 시스템 전반에서 버그 2,000개를 찾았는데 그중 400개가 고위험·심각 등급이었으며, 오탐률은 자사 팀이 보기에 사람 테스터보다 낫다고 평가했다.
외부 평가도 비슷한 결과를 보였다. 영국 AI안전연구소는 Mythos Preview가 다단계 사이버 공격을 모사한 자사 사이버 레인지 두 곳을 처음부터 끝까지 모두 풀어낸 첫 모델이라고 밝혔다. Mozilla는 Mythos Preview를 시험하며 Firefox 150에서 취약점 271개를 찾아 고쳤는데, 이는 Claude Opus 4.6으로 Firefox 148에서 찾은 것의 10배가 넘는 수치다. 독립 보안 플랫폼 XBOW는 Mythos Preview가 자사 웹 익스플로잇 벤치마크에서 "기존 모든 모델을 크게 앞선다"고 평가했다.
패치된 소프트웨어의 배포 속도도 빨라지고 있다. Palo Alto Networks의 최신 릴리스에는 평소보다 다섯 배 넘는 패치가 담겼고, 마이크로소프트는 새로 내놓을 패치 수가 "당분간 계속 늘어나는 추세"일 것이라고 밝혔다. Oracle도 제품과 클라우드 전반에서 이전보다 몇 배 빠르게 취약점을 찾아 고치고 있다. 또 한 Glasswing 파트너 은행에서는 위협 행위자가 고객 이메일 계정을 탈취하고 위장 전화를 건 뒤 시도한 150만 달러 규모의 사기성 송금을 Mythos Preview가 탐지해 막는 데 기여했다.
앤스로픽은 지난 몇 달간 Mythos Preview로 1,000개가 넘는 오픈소스 프로젝트를 점검했다. 그 결과 Mythos Preview는 이들 프로젝트에서 고위험·심각 등급으로 추정되는 취약점 6,202개를 찾아냈으며, 중·저위험 추정치까지 포함하면 전체는 2만 3,019개에 이른다.
이 가운데 고위험·심각 등급으로 평가된 1,752개는 6곳의 독립 보안 연구 기업이, 일부는 앤스로픽이 직접 정밀 검토했다. 그 결과 90.6%인 1,587개가 유효한 실제 취약점으로 확인됐고, 62.4%인 1,094개는 고위험 또는 심각 등급으로 확정됐다. 앤스로픽은 Mythos Preview가 더 이상 취약점을 찾지 못하더라도 현재의 검증 후 실제 적중률을 적용하면, 파트너용으로 찾은 것과 별개로 오픈소스 코드에서만 약 3,900개의 고위험·심각 취약점을 추가로 드러낼 것으로 추산했다.
대표 사례로 Mythos Preview는 전 세계 수십억 대 기기에 쓰이며 보안성으로 알려진 오픈소스 암호화 라이브러리 wolfSSL에서 취약점을 찾아냈다. 이 모델은 공격자가 인증서를 위조하도록 해 주는 익스플로잇을 만들었는데, 이를 이용하면 은행이나 이메일 제공업체의 가짜 웹사이트를 사용자에게 완전히 정상으로 보이게 띄울 수 있다. 앤스로픽은 이미 패치된 이 취약점에 CVE-2026-5194 번호가 부여됐으며, 전체 기술 분석을 몇 주 안에 공개할 예정이라고 밝혔다.
앤스로픽은 이제 버그를 고치는 병목이 발견이 아니라 사람이 검증하고 보고하고 패치를 설계·배포하는 역량에 있다고 진단했다. 취약점 분류는 문제 재현, 심각도 재평가, 실제 여부 확인, 유지보수자에게 보내는 상세 보고서 작성으로 이어지는 집약적 과정이다. 다만 유지보수자들은 저품질 AI 생성 버그 리포트가 쏟아지는 상황에 시달리고 있으며, 일부는 패치 설계 시간이 더 필요하다며 공개 속도를 늦춰 달라고 요청하기도 했다. Mythos Preview가 찾아낸 고위험·심각 버그는 패치까지 평균 2주가 걸린다.