앤트로픽, ‘Project Glasswing’으로 AI 시대 소프트웨어 보안 표준을 만든다

Amazon, Apple, Google, Microsoft 등 글로벌 빅테크와 보안업체, 학계·오픈소스 재단이 손을 잡고 ‘AI 기반 소프트웨어 보안’의 새 표준을 만들려는 대규모 협력 프로젝트가 추진되고 있다. Project Glasswing은 AI를 활용해 전 세계 핵심 소프트웨어의 보안 취약점 탐지와 방어를 가속하는 것을 목표로 하며, 앤트로픽(Anthropic)의 Claude Mythos Preview 모델이 핵심 엔진 역할을 한다. 이번 이니셔티브는 취약점 악용이 빨라지는 환경에서 방어 역량도 함께 업그레이드해야 한다는 문제의식에서 출발했다.

GeekNews(GeekNews가 인용한 자료 기준)에 따르면, Glasswing은 운영체제·브라우저·미디어 라이브러리 등 주요 소프트웨어 전반에서 고심각도 취약점을 대량으로 찾아내고, 발견된 결함은 각 프로젝트 유지보수자에게 보고해 패치가 이뤄지도록 하는 흐름을 구축하려 한다. 앤트로픽은 프로젝트 지원 차원에서 모델 사용 크레딧 최대 1억 달러와 오픈소스 보안 단체 기부 400만 달러를 제공하는 것으로 알려졌다.

AI가 취약점 탐지 ‘속도’와 ‘깊이’를 바꾸고 있다

사이버보안에서 취약점은 사라지지 않는다. 다만 최근에는 AI 모델의 발전으로 인해 공격자가 취약점을 악용하는 데 필요한 비용과 전문성, 그리고 개발 시간이 크게 낮아지는 추세다. Glasswing이 강조하는 지점은 “공격 비용이 내려가면 방어도 자동화·고도화되어야 한다”는 점이다.

GeekNews가 전한 Glasswing 관련 내용에 따르면, Claude Mythos Preview는 최근 몇 주간 주요 운영체제와 웹 브라우저 전반에서 수천 건의 고심각도 취약점을 탐지했으며, 인간 보안 전문가가 반복적으로 점검해도 놓칠 수 있는 오래된 결함을 찾아내는 사례가 포함됐다. 예컨대 OpenBSD에서 27년간 존재한 취약점, FFmpeg에서 16년간 누적된 취약점이 언급됐다. 또한 Linux 커널의 경우 여러 취약점을 연쇄적으로 연결해 권한 상승 가능성을 보여줬다는 설명이 뒤따랐다.

“취약점만 찾는 게 아니라, 방어 관점에서 익스플로잇도 염두”

이번 발표에서 주목할 대목은 Glasswing이 단순한 취약점 스캐닝을 넘어, 악용 가능성을 포함한 방어 평가로까지 확장하려 한다는 점이다. GeekNews가 인용한 Claude Mythos Preview 시스템 카드 요약에 따르면, Mythos Preview는 사이버보안 관련 능력이 특히 강한 것으로 평가되며, 취약점 탐지·수정뿐 아니라 취약점 악용 설계까지 다룰 수 있는 잠재력이 있다고 정리돼 있다.

이 때문에 앤트로픽은 Mythos Preview의 일반 공개를 제한하고, “중요 소프트웨어 인프라를 관리하는 파트너 기관”을 중심으로 방어적 목적에 한해 제공한다는 입장을 밝힌 것으로 전해졌다. 앤트로픽은 또한 Responsible Scaling Policy(RSP) 3.0을 적용한 첫 모델로서, 자율성·생물학적 위험·사이버보안 위협을 중심으로 평가 체계를 강화했다는 점을 시스템 카드에서 강조했다.

벤치마크에서의 점프, 하지만 확산은 ‘선별’

Glasswing의 성과를 설명할 때 벤치마크 결과도 함께 제시됐다. GeekNews 요약에 따르면 CyberGym 성능 평가에서 Mythos Preview는 83.1%를 기록했고, 이전 모델 Opus 4.6은 66.6%에 머물렀다고 한다. 또한 SWE-bench 계열의 성과 향상(예: SWE-bench Verified/Pro/Multilingual 등에서 이전 대비 20~30% 이상 향상), Terminal-Bench 2.0에서의 높은 점수(예: 92.1%) 같은 수치가 언급됐다.

다만 Mythos Preview는 공개 배포가 예정돼 있지 않으며, 이후에는 “안전장치가 강화된 Claude Opus 모델”을 통해 점진적으로 접근성이 넓어질 수 있다는 방향성이 제시됐다. 사용 방식도 제한적이다. GeekNews에 따르면, 프로젝트 파트너들은 초기 제공 크레딧 이후 입력 100만 토큰당 25달러, 출력 100만 토큰당 125달러 수준으로 이용 조건이 설계돼 있다.

참여 주체와 역할: 민관 협력 ‘운영 체계’에 방점

Project Glasswing에는 AWS, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks 등 폭넓은 참여가 거론된다. Linux Foundation과 오픈소스 생태계를 연결하는 구성도 눈에 띈다. GeekNews 요약에 따르면 Linux Foundation 산하 단체(예: Alpha-Omega, OpenSSF)에 총 250만 달러, Apache Software Foundation에 150만 달러가 기부되는 형태로 오픈소스 보안 유지보수자 지원이 포함된다.

운영 측면에서는 파트너들이 Mythos Preview를 활용해 핵심 시스템 취약점 탐지, 바이너리 블랙박스 테스트, 엔드포인트 보안, 침투 테스트 등을 수행하고, 발견된 취약점은 90일 내 수정 및 개선사항 보고서 형태로 공개하는 계획이 제시됐다. 또 미국 정부와의 협의도 언급되며, AI 기반 사이버 역량이 국가 안보에 미칠 영향을 평가하고 완화하는 작업에도 참여할 수 있다는 내용이 포함됐다.

What’s Next: “표준”이 되려면, 공개된 절차와 재현성이 관건

Project Glasswing의 최종 목표는 “AI 시대의 사이버보안 표준과 실천 지침”을 만드는 것이다. 이는 기술 성능뿐 아니라, 취약점 공개·패치·검증 절차가 일관되고 재현 가능해야 한다는 의미다. 파트너 기관이 어떤 소프트웨어 범위를 얼마나 자주 커버하는지, 탐지된 결과가 어떤 수준의 검증을 거쳐 패치로 이어지는지, 그리고 오픈소스 유지보수자에게 실제로 어떤 지원이 제공되는지가 향후 신뢰도를 좌우할 가능성이 크다.

또 하나의 변수는 ‘통제’다. Mythos Preview가 강력한 사이버 역량을 가졌다는 점에서, 방어 목적 사용을 넘어서는 악용 리스크는 계속 거론될 것이다. 앤트로픽이 밝힌 것처럼 일반 공개는 제한하되 안전장치를 강화한 모델로 점진 확산을 추진한다면, 업계는 방어 자동화의 속도를 높이는 한편 위험 관리 체계를 함께 시험하게 될 전망이다.