마이크로소프트 MSRC, 앤스로픽 Claude Mythos Preview 활용해 AI 기반 취약점 탐지 체계 구축

마이크로소프트 보안대응센터(MSRC)가 앤스로픽의 최신 AI 모델 Claude Mythos Preview를 활용해 소프트웨어 취약점 탐지 및 대응 역량을 대폭 강화한다고 발표했다. MSRC VP 엔지니어링 톰 갤러거(Tom Gallagher)는 AI가 사이버 방어의 범위, 속도, 일관성을 이전에 불가능했던 수준으로 확장하고 있다고 밝혔다.

마이크로소프트는 Claude Mythos Preview의 초기 스냅샷을 CTI-REALM이라는 자체 개발 오픈소스 벤치마크로 평가했다. CTI-REALM은 실제 탐지 엔지니어링 작업에서 AI 에이전트를 평가하기 위해 만들어졌으며, 이번 평가에서 이전 모델 대비 상당한 성능 향상이 확인되었다.

가장 즉각적인 효과는 대규모 취약점 탐지다. AI는 이전 방법론보다 더 넓은 범위에서 더 많은 문제를 더 빠르게 발견할 수 있다. 고급 보안 도구와 결합할 경우 최신 모델은 숙련된 보안 연구원 수준에 근접하는 소프트웨어 취약점 발견 능력을 보여주고 있다.

이러한 시스템은 24시간 연중무휴로 작동할 수 있어, 더 많은 양과 다양한 유형의 취약점을 발견하고 고객에게 위험이 발생하기 전에 생애주기 초기 단계에서 문제를 해결할 수 있다. MSRC는 취약점의 품질과 심각도를 검증하고 AI 속도에 맞는 복구를 지원하는 추가 자동화를 도입하고 있으며, 정확성과 품질 유지를 위해 인간 개발자를 루프에 유지한다.

마이크로소프트는 에이전트형 레드팀(agentic red teaming)도 활용해 코드 작성 및 배포 과정에서 직접 보안 문제를 식별하고 있다. AI 지원 탐지에서 얻은 인사이트는 마이크로소프트의 보안미래이니셔티브(SFI)와 보안개발생애주기(SDL)에 반영되어 전체 제품 포트폴리오의 보안을 강화한다.

앤스로픽은 Claude Mythos Preview에 대한 비공개 연구 프리뷰 조기 접근 권한을 마이크로소프트에 제공했다. 양사는 이러한 AI 발전을 책임감 있게 적용하고 산업 전반의 사이버 위험을 줄이기 위한 이니셔티브인 프로젝트 글래스윙(Project Glasswing)에도 함께 참여할 예정이다.

Claude Mythos Preview는 마이크로소프트 파운드리(Microsoft Foundry)를 통해 프로젝트 글래스윙 참여 애저(Azure) 고객에게 연구 프리뷰 접근이 제공된다. 접근 권한은 앤스로픽이 부여하며 앤스로픽의 접근 약관을 따른다.

MSRC는 매년 마이크로소프트 엔지니어와 전 세계 독립 보안 연구원으로부터 수천 건의 취약점 보고를 처리하고 있다. BlueHat 포럼과 제로데이 퀘스트(Zero Day Quest) 등의 버그 바운티 프로그램을 통해 글로벌 보안 연구 커뮤니티와 협력하며, 앤스로픽이 언급한 대로 이 수준의 AI 역량이 단일 모델이나 제공자에 국한되지 않을 것이라는 점에서 산업 전체의 적응이 필요하다고 강조했다.