생성형 AI가 사이버 보안의 지형을 빠르게 바꾸고 있다. 지난달 출범한 ‘프로젝트 글래스윙(Project Glasswing)’은 강력한 AI 모델이 실제 공격에 악용되기 전에 전 세계 핵심 소프트웨어의 취약점을 선제적으로 찾아내기 위한 공동 노력으로, 중심에는 앤트로픽의 보안 특화 모델 ‘클로드 미토스 프리뷰(Claude Mythos Preview)’가 있다. 프로젝트 시작 한 달 만에 미토스는 주요 소프트웨어에서 1만건이 넘는 고위험 취약점을 발견하며 기존 보안 체계를 뒤흔들고 있다.
앤트로픽 발표에 따르면 이 프로젝트에는 약 50개 글로벌 기술 기업과 기관이 참여해 자사 시스템을 대규모로 점검하고 있으며, AI가 찾아낸 취약점을 얼마나 빠르게 검증하고 패치할 수 있는지가 새로운 과제로 떠올랐다. 클라우드플레어는 미토스를 통해 2000건의 버그를 확인했고, 이 중 400건이 고위험 수준이었다고 밝혔다. 모질라는 파이어폭스(Firefox) 150 버전에서 271개의 취약점을 수정했는데, 이는 이전 버전 대비 10배 이상 많은 수치다.
독립 보안 기관들도 미토스의 성능을 인정하고 있다. 영국 AI 보안 연구소는 미토스가 자체 다단계 사이버 공격 시뮬레이션을 처음으로 완전 해결한 모델이라고 평가했으며, 보안 플랫폼 XBOW는 웹 익스플로잇 벤치마크에서 “기존 모든 모델을 압도하는 정확도”를 보였다고 밝혔다. 학계에서도 미토스는 최신 벤치마크에서 최고 성능을 기록했다.
프로젝트 글래스윙의 초기 결과는 AI가 공격뿐 아니라 방어에서도 강력한 도구가 될 수 있음을 보여주며, 향후 사이버 보안 운영 방식 전반에 큰 변화를 예고하고 있다.
AI 기반 취약점 탐지 기술이 확산되면서 글로벌 소프트웨어 기업들의 패치 작업 속도도 크게 빨라지고 있다. 보안기업 팔로알토 네트웍스는 최근 정기 업데이트에서 평소보다 5배 많은 패치를 포함했고, 마이크로소프트와 오라클 역시 향후 패치 규모가 계속 증가할 것이라고 밝혔다. 이는 생성형 AI가 단기간에 대량의 취약점을 찾아내면서 기업들이 대응 체계를 재정비해야 하는 상황에 놓였기 때문이다.
앤트로픽은 보안 특화 모델 ‘미토스(Mythos)’를 활용해 1000개 이상의 오픈소스 프로젝트를 스캔한 결과 총 2만3000여개의 취약점을 발견했으며, 이 중 6202개가 고위험 또는 매우 심각한 수준으로 분류됐다. 독립 기관이 검증한 1752개 중 90.6%가 실제 취약점으로 확인돼 모델의 정확성도 입증됐다. 현재 검증 속도를 기준으로 하면 오픈소스 생태계에서만 약 3900개의 추가 고위험 취약점이 더 발견될 것으로 예상된다.
대표적 사례로는 전 세계 수십억 대의 기기에서 사용되는 암호화 라이브러리에서 발견된 취약점이 꼽힌다. 미토스는 공격자가 인증서를 위조해 합법적으로 보이는 가짜 웹사이트를 만들 수 있는 익스플로잇을 생성했으며, 해당 문제는 이미 패치가 완료됐다.
프로젝트 글래스윙의 초기 결과는 AI가 공격뿐 아니라 방어에서도 강력한 도구가 될 수 있음을 보여준다. 그러나 동시에 AI가 찾아낸 방대한 취약점을 처리할 인력과 프로세스가 새로운 과제로 떠오르고 있어, 향후 패치 체계와 보안 운영 방식 전반에 큰 변화가 예상되고 있다.
