[이데일리 한광범 기자] 글로벌 AI 기업 앤스로픽(Anthropic)의 차세대 AI 모델 ‘미토스(Mythos)’가 출범 한 달 만에 전 세계 주요 소프트웨어에서 1만개가 넘는 보안 취약점을 찾아내며 고성능 AI가 가져올 사이버 보안 위협의 실체를 입증했다. AI가 보안 결함을 찾아내는 속도가 인간 개발자의 패치(수정) 역량을 압도하면서, 사이버 보안 생태계가 새로운 과도기에 직면했다는 진단이 나온다.

앤스로픽은 22일(현지시간) 클로드 미토스 프리뷰(Claude Mythos Preview)와 관련해 자사 홈페이지를 통해 글로벌 빅테크 및 보안 파트너사 50여 곳과 함께 진행 중인 공동 보안 프로젝트 ‘프로젝트 글래스윙(Project Glasswing)’의 이 같은 첫 번째 성과를 공개했다.

미토스를 도입한 파트너사들은 각각 자사 소프트웨어에서 수백 개의 치명적(Critical) 또는 고위험(High) 취약점을 발견했다. 이들이 한 달 동안 찾아낸 취약점은 총 1만개가 넘으며, 버그 탐지 속도는 이전보다 10배 이상 빨라진 것으로 나타났다. 대표적으로 클라우드플레어는 핵심 경로 시스템에서 2000개의 버그를 찾아냈으며, 오탐률(False Positive) 측면에서도 인간 테스터보다 우수한 정확도를 보였다고 평가했다.

◇오픈소스 생태계도 무차별 발굴…‘인간 패치 속도’ 압도

빅테크 기업의 자체 소프트웨어뿐만 아니라, 인터넷 인프라의 근간이 되는 오픈소스 프로젝트 역시 AI의 사냥감이 됐다. 앤스로픽이 미토스 프리뷰를 사용해 1000개 이상의 오픈소스 프로젝트를 스캔한 결과, 총 2만3019개의 취약점 후보를 발견했으며 이 중 6202개를 고위험·치명적 수준으로 분류했다.

이 중 일부(1752개)를 독립된 6개 보안 연구 기업이 정밀 검증한 결과, 90.6%가 실제 존재하는 유효한 취약점으로 증명됐다. 앤스로픽은 이 같은 데이터 분석을 바탕으로 미토스가 오픈소스 영역에서만 약 3900개의 고위험·치명적 취약점을 발굴해 내는 궤도에 올랐다고 밝혔다. 실제 전 세계 수십억 개 기기에서 쓰이는 오픈소스 암호화 라이브러리 ‘wolfSSL’에서는 공격자가 가짜 웹사이트를 합법적 사이트처럼 위장할 수 있는 치명적 결함을 스스로 구성해 내기도 했다.

문제는 AI의 탐지 속도를 인간의 방어 속도가 따라가지 못한다는 점이다. 오픈소스 개발자들은 이미 과부하 상태에 직면했으며, 일부 메인테이너들은 패치를 설계할 시간이 부족하다며 앤스로픽 측에 “제발 취약점 고지 속도를 늦춰달라”고 요청한 것으로 알려졌다. 취약점을 찾는 난이도에 비해 이를 고치는 것이 압도적으로 어렵다는 점이 현재 사이버 보안의 거대한 도전 과제로 부상했다고 앤스로픽은 설명했다.

앤스로픽은 이처럼 강력한 성능을 가진 미토스급 모델의 대중 공개를 당분간 보류하기로 결정했다. AI의 발전 속도에 비해, 이 모델이 악용되어 심각한 피해를 주는 것을 완벽하게 막을 수 있는 수준의 세이프가드(안전장치)가 아직 개발되지 않았기 때문이다. 앤스로픽 측은 “만약 유사한 역량의 모델이 안전장치 없이 시장에 풀린다면, 전 세계 거의 모든 사람이 아주 저렴하고 손쉽게 취약한 소프트웨어를 해킹하고 무력화할 수 있게 된다”며 미공개 이유를 명확히 했다.

◇강력한 공격 역량에 ‘비상’…안팎으로 AI 방어막 짠다

이 같은 강력한 공격 활용 가능성 때문에 앤스로픽은 프로젝트 글래스윙을 철저히 폐쇄형 구조로 운영하며 미국 정부 및 가이드라인과 국가 안보 차원의 조율을 거치고 있다. 앞서 지난 11일 마이클 셀리토 앤스로픽 글로벌 정책 총괄이 방한했을 당시, 한국 정부의 글래스윙 참여 요청에 대해 “미토스급 모델의 파급력이 큰 만큼 미국 정부와의 사전 협의와 승인이 필요하다”며 조심스러운 입장을 견지했던 배경과 맥을 같이 한다.

다만 앤스로픽은 이번 발표를 통해 방어자들이 선제적으로 무장할 수 있도록 프로젝트 글래스윙의 파트너십을 본격적으로 확대하겠다는 계획을 공식화 했다. 앤스로픽 측은 “다음 단계로 미국 및 동맹국 정부를 포함한 핵심 파트너들과 협력하여 프로젝트 글래스윙의 참여 대상을 추가 파트너사로 확대할 것”이라고 명시했다. 한국 정부가 추진 중인 글로벌 보안 이너서클 진입 협상에도 청신호가 켜진 셈이다.

동시에 상용 모델을 활용한 민간 방어 툴 보급도 속도를 낸다. 앤스로픽은 클로드 엔터프라이즈 고객을 대상으로 팀의 코드베이스를 스캔하고 수정 코드를 제안해 주는 ‘클로드 보안(Claude Security)’ 툴을 퍼블릭 베타로 출시했다. 실제로 지난 3주 동안 기업들은 상용 최상위 모델인 ‘클로드 오퍼스 4.7(Claude Opus 4.7)’을 활용해 자체 코드에서 2100개가 넘는 취약점을 패치한 것으로 집계됐다.

국내 보안 당국 역시 앤스로픽과의 글로벌 공조 체계를 다지는 한편, 국산 AI 모델을 활용한 ‘보안 주권’ 확보라는 투트랙 전략을 구체화하고 있다. 실제 최근 과학기술정보통신부와 한국인터넷진흥원(KISA)이 국내 기업 1곳과 협의를 거쳐 진행한 실증 테스트에선 클로드 오퍼스 4.7 모델이 단 10분 만에 7건의 보안 취약점을 찾아내며 고성능 AI발 위협의 실체를 확인한 바 있다.

정부는 글로벌 빅테크와의 정보 공유 수준을 높이는 동시에, 국내 독자 파운데이션 모델(독파모) 기업 및 보안 학계와 협력하여 자생적 보안 생태계를 구축하는 내용을 골자로 한 ‘범정부 AI 사이버보안 대응 전략’을 이달 말 또는 다음 달 초 최종 발표할 계획이다.