AI 시대 사이버보안 대연합 출범···앤쓰로픽, '글래스윙 프로젝트'로 AWS·애플·구글·MS 한 데 묶다 - 테크수다

미공개 프런티어 모델 'Claude Mythos Preview', 수천 건 제로데이 자율 발굴… 1억 달러 방어 투자 선언 [테크수다 기자 도안구 [email protected]] 생성형 AI 시대 보안 문제를 해결하기 위해 대규모 산업 연합체가 발족했다. 앤쓰로픽이 아마존 웹 서비스(AWS)·애플·브로드컴·시스코·크라우드스트라이크·구글·JPMorgan체이스·리눅스 재단·마이크로소프트·NVIDIA·팔로알토 네트웍스 등 12개 글로벌 기업을 파트너로 묶은 '프로젝트 글래스윙(Project Glasswing)'을 선보였다. 이 이니셔티브의 핵심에는 아직 일반에 공개되지 않은 앤쓰로픽의 최신 프런티어 모델, 'Claude Mythos Preview'가 있다. 이 모델은 이미 주요 운영체제(OS·Operating System)와 브라우저 전반에서 수천 건의 제로데이(zero-day) 취약점을 자율적으로 발굴하는 데 성공했다. ▶ 앤쓰로픽이 AWS·애플·구글·마이크로소프트 등 12개 글로벌 빅테크와 함께 '프로젝트 글래스윙(Project Glasswing)'을 출범하며 AI 시대 사이버보안 대연합을 발족했다. ▶ 미공개 프런티어 모델 'Claude Mythos Preview'는 모든 주요 운영체제(OS)와 브라우저에서 수천 건의 제로데이(zero-day) 취약점을 자율 발굴하며, 27년 잠복 취약점 포착 등 충격적 성과를 냈다. ▶ 앤쓰로픽은 1억 달러 상당의 모델 사용 크레딧과 400만 달러의 오픈소스 보안 기부를 약속하며 방어 우선 원칙 아래 이 역량을 공개하지 않겠다는 방침을 명확히 했다. 앤쓰로픽은 이번 이니셔티브를 위해 총 1억 달러 상당의 모델 사용 크레딧과 400만 달러 규모의 오픈소스(open-source) 보안 단체 기부를 약속했다. 경쟁 관계에 있는 빅테크들이 단일 이니셔티브 아래 결집하는 이례적인 구도가 형성됨으로써, AI 시대 사이버 위협의 심각성에 대한 업계의 공통된 위기의식이 수면 위로 부상했다. 왜 지금인가 — AI가 바꾼 사이버 위협의 속도 사이버보안 분야에서 AI는 이미 임계점(threshold)을 넘었다는 것이 앤쓰로픽의 진단이다. 소프트웨어 취약점을 찾고 악용하는 데 필요한 비용·노력·전문성이 최신 프런티어(frontier) AI 모델의 등장으로 급격히 낮아졌으며, Claude Mythos Preview는 이 분야에서 최고 수준의 인간 전문가를 능가하는 도약을 보여줬다. 사이버 공격의 실제 비용도 만만치 않다. 학술 추정치에 따르면 글로벌 사이버범죄의 연간 경제적 피해 규모는 약 5,000억 달러에 달하며, 병원·학교·에너지 인프라 등 민간 생활과 직결된 시스템도 예외가 아니다. 중국·이란·북한·러시아 등 국가 지원 행위자들의 공격은 민간 생활과 군사 대비태세의 기반을 이루는 인프라까지 위협하는 수준으로 고도화되고 있다. 문제는 방어보다 공격이 먼저 AI의 혜택을 누릴 경우 격차가 급격히 벌어질 수 있다는 점이다. 엘리아 자이체프 크라우드스트라이크(CrowdStrike) 최고기술책임자(CTO)는 "취약점이 발견되고 공격자에 의해 악용되기까지의 시간이 붕괴됐다. 과거에 몇 달이 걸렸던 일이 이제 AI로 몇 분 안에 이뤄진다"고 경고했다. 이처럼 공격과 방어 사이의 속도 비대칭이 극단적으로 벌어지는 상황이 프로젝트 글래스윙 출범의 직접적 배경이 됐다. Claude Mythos Preview — 27년 묵은 취약점도 잡았다 프로젝트 글래스윙의 기술적 근거는 Mythos Preview의 실증 성과에서 출발한다. 앤쓰로픽은 지난 수 주 동안 이 모델을 활용해 모든 주요 운영체제(OS)와 웹 브라우저에서 수천 건의 제로데이 취약점을 발굴했으며, 그 중 상당수는 심각도가 높은 것으로 분류됐다. 앤쓰로픽이 공개한 구체적 사례 세 가지는 AI 기반 취약점 탐지의 수준을 가늠하게 한다. 첫째, 보안 강화 운영체제로 명성 높은 오픈BSD(OpenBSD)에서 27년 된 취약점을 발굴했다. 공격자가 해당 OS를 구동 중인 서버에 단순히 연결하는 것만으로 원격 충돌(crash)을 유발할 수 있는 결함이었다. 방화벽 등 핵심 인프라에 널리 쓰이는 오픈BSD에서 이런 취약점이 수십 년간 잠복해 있었다는 사실은 AI 탐지 능력의 실질적 가치를 방증한다. 둘째, 동영상 인코딩·디코딩 라이브러리 에프에프엠펙(FFmpeg)에서 16년간 잠복한 취약점을 식별했다. 해당 코드 라인은 자동화 테스트 도구들이 500만 회 이상 실행했음에도 문제를 발견하지 못한 곳이었다. 현대 소프트웨어 스택 전반에 FFmpeg가 깊숙이 내재돼 있다는 점에서 파급력이 상당하다. 셋째, 세계 서버 대다수를 구동하는 리눅스(Linux) 커널에서 여러 취약점을 연쇄 활용(chaining)하는 방식으로 일반 사용자 권한에서 시스템 전체 통제권을 탈취하는 경로를 자율적으로 도출해냈다. 단순 취약점 발견을 넘어 실제 공격 시나리오를 스스로 구성한 것이다. 벤치마크(benchmark) 수치도 의미심장하다. 사이버보안 취약점 재현 평가인 사이버짐(CyberGym)에서 Mythos Preview는 83.1%의 정확도를 기록한 반면, 차세대 모델인 Claude Opus 4.6은 66.6%에 그쳤다. 에이전틱(agentic) 코딩 벤치마크인 에스더블유이-벤치 버리파이드(SWE-bench Verified)에서는 93.9%로 Opus 4.6(80.8%)을 큰 폭으로 앞섰다. 이 수치들은 Mythos Preview가 현존하는 AI 모델 가운데 가장 뛰어난 코딩·보안 역량을 갖췄음을 시사한다. 12개 빅테크의 결집 — 이례적인 경쟁자 연합 프로젝트 글래스윙의 또 다른 주목 포인트는 참여사의 면면이다. 클라우드(cloud) 시장에서 경쟁 관계에 있는 AWS·구글·마이크로소프트가 동일한 이니셔티브(initiative)에 이름을 올렸고, 사이버보안 시장의 직접 경쟁사인 크라우드스트라이크와 팔로알토 네트웍스(Palo Alto Networks)가 나란히 참여했다. 반도체 공급사(NVIDIA·브로드컴), 네트워킹 인프라(시스코), 금융(JPMorganChase), 오픈소스 거버넌스(리눅스 재단)에 이르기까지 디지털 인프라의 핵심 레이어(layer)를 망라하는 구성이다. 앤서니 그리에코 시스코(Cisco) 수석 부사장 겸 최고보안신뢰책임자(Chief Security & Trust Officer)는 "AI 역량이 사이버 위협에 맞서 핵심 인프라를 보호하기 위해 요구되는 긴박성을 근본적으로 바꿔놓는 임계점을 넘어섰으며, 이제 되돌릴 수 없다"며 예전 방식의 시스템 강화는 더 이상 충분하지 않다는 명확한 신호라고 강조했다. 에이미 헤르조그 AWS 최고정보보안책임자(CISO)는 하루 400조 건에 달하는 네트워크 흐름을 분석하며 이미 AI를 방어 핵심 수단으로 활용하고 있다며, 주요 코드베이스(codebase)에 Mythos Preview를 적용한 결과 코드 보안 강화에 실질적인 성과가 나타났다고 밝혔다. 이고르 치간스키 마이크로소프트(Microsoft) 사이버보안 담당 수석부사장(EVP)은 자사 오픈소스 보안 벤치마크 CTI-REALM에서 Mythos Preview가 이전 모델 대비 유의미한 성능 향상을 보였다고 전했다. 오픈소스 생태계의 목소리도 주목된다. 짐 젬린 리눅스 재단(Linux Foundation) 최고경영자(CEO)는 현대 시스템 코드의 대부분을 구성하는 오픈소스 소프트웨어 유지 관리자들이 역사적으로 보안을 자력으로 해결해야 했다고 지적하며, AI 보강 보안이 거대한 보안팀을 갖춘 조직만의 특권이 아니라 모든 유지 관리자의 믿음직한 동반자가 될 수 있는 현실적인 경로를 글래스윙이 제시하고 있다고 평가했다. 1억 달러 투자와 40개 이상 확장 파트너십 앤쓰로픽의 재정 투자 규모도 이니셔티브의 진지함을 뒷받침한다. 12개 론치(launch) 파트너에 더해 주요 소프트웨어 인프라를 구축·운영하는 40개 이상의 추가 조직에 Mythos Preview 접근권이 확대된다. 이들은 퍼스트파티(first-party) 및 오픈소스 시스템 모두에 모델을 적용해 취약점 스캐닝(scanning)과 보안 강화 작업을 수행할 수 있다. 오픈소스 생태계 지원을 위한 기부도 구체화됐다. 리눅스 재단을 통해 알파-오메가(Alpha-Omega)와 오픈소스 보안 재단(OpenSSF·Open Source Security Foundation)에 250만 달러, 아파치 소프트웨어 재단(Apache Software Foundation)에 150만 달러가 각각 기부된다. 오픈소스 유지 관리자들은 'Claude for Open Source' 프로그램을 통해 별도 접근을 신청할 수 있다. 연구 프리뷰(preview) 기간 이후에는 Mythos Preview를 입력 토큰(token) 100만 개당 25달러, 출력 토큰 100만 개당 125달러로 유료 제공할 계획이다. Claude API(Application Programming Interface), 아마존 베드록(Amazon Bedrock), 구글 클라우드 버텍스 AI(Vertex AI), 마이크로소프트 파운드리(Microsoft Foundry)를 통해 접근 가능하다. 방어 우선 원칙과 미공개 유지 결정 앤쓰로픽은 Mythos Preview를 일반에 공개하지 않겠다는 방침을 명확히 했다. 모델이 보유한 사이버 공격 역량이 잘못된 손에 들어갈 경우 초래할 피해의 심각성 때문이다. 이 역량이 안전하게 배포하기로 다짐된 행위자들 너머로 확산될 경우, 경제·공공 안전·국가 안보에 대한 타격이 심각할 수 있다고 앤쓰로픽은 경고했다. 대신 앤쓰로픽은 향후 출시될 Claude Opus 모델에 새로운 사이버보안 세이프가드(safeguard)를 먼저 도입해 개선·정제한 후 이를 Mythos급 모델에 적용하는 단계적 접근을 취하겠다고 밝혔다. 합법적인 보안 전문가들을 위한 '사이버 인증 프로그램(Cyber Verification Program)'도 별도 운영될 예정이다. 미국 정부와의 협력도 진행 중이다. 앤쓰로픽은 Mythos Preview의 공격·방어 사이버 역량에 대해 미 정부 당국자들과 지속적으로 논의하고 있으며, 민주주의 국가들이 AI 기술에서 결정적인 선도 우위를 유지해야 한다는 입장을 거듭 강조했다. 90일 이내 성과 공개 — 표준 수립의