미국 인공지능(AI) 기업 앤트로픽이 AI 모델을 활용해 세계 주요 소프트웨어에서 고위험·치명적 보안 취약점 1만건 이상을 찾았다고 밝혔다.

25일 업계에 따르면 앤트로픽은 지난 22일 자사 연구 블로그에서 '프로젝트 글라스윙' 초기 성과를 공개했다.

프로젝트 글라스윙은 고성능 AI 모델이 사이버 공격에 악용되기 전 주요 소프트웨어 보안을 강화하기 위한 협력 프로젝트다. 취약점은 해커가 시스템에 침입하거나 정보를 빼낼 때 악용할 수 있는 소프트웨어의 약점을 뜻한다.

앤트로픽은 약 50개 파트너와 함께 AI 모델 '클로드 미토스 프리뷰'를 활용해 주요 소프트웨어를 점검했다. 그 결과 고위험·치명적 수준의 취약점 1만건 이상을 발견했다고 설명했다.

대표 사례로 클라우드플레어는 핵심 시스템에서 버그 2000건을 찾았다. 이 가운데 400건은 고위험·치명적 수준이었다. 웹 브라우저 운영사 모질라도 미토스 프리뷰를 활용해 파이어폭스 150에서 취약점 271건을 찾아 수정했다. 이는 이전 모델인 '클로드 오퍼스 4.6'으로 파이어폭스 148을 점검했을 때보다 10배 이상 큰 규모다.

일부 파트너사는 미토스 프리뷰를 활용한 뒤 버그 발견 속도가 10배 이상 빨라졌다고 밝혔다.

외부 기관 평가도 나왔다. 영국 AI안전연구소는 미토스 프리뷰가 다단계 사이버 공격을 모의한 두 개의 테스트 환경을 처음으로 끝까지 해결한 모델이라고 평가했다. 보안 플랫폼 엑스보우(XBOW)도 미토스 프리뷰가 웹 취약점 공격 성능 평가에서 기존 모델을 크게 앞섰다고 밝혔다.

오픈소스 점검에서도 대규모 취약점이 나왔다. 앤트로픽은 1000개 이상 오픈소스 프로젝트를 살펴본 결과 총 2만 3019건의 취약점을 찾았고, 이 가운데 6202건을 고위험·치명적 취약점으로 추정했다.

이 중 고위험·치명적 취약점으로 분류된 1752건을 외부 보안업체 등이 다시 검증한 결과 1587건이 실제 취약점으로 확인됐다. 검증 대상의 90.6%가 실제 취약점이었던 셈이다.

앤트로픽은 AI가 취약점을 찾는 속도는 빨라졌지만, 사람이 이를 검증하고 고치는 속도는 따라가지 못하고 있다고 봤다. 회사는 "과거에는 새 취약점을 얼마나 빨리 찾을 수 있느냐가 소프트웨어 보안의 진전을 좌우했지만, 이제는 AI가 찾아낸 대규모 취약점을 얼마나 빨리 검증하고 공개하고 패치할 수 있느냐가 관건이 됐다"고 말했다.

앤트로픽은 미토스급 AI 모델이 공격자에게 악용될 수 있다는 우려로 아직 일반 공개하지 않고 있다. 회사는 오용을 막을 안전장치가 충분하지 않다며 핵심 파트너와 협력해 프로젝트 글라스윙 참여 대상을 확대할 계획이라고 밝혔다.

kxmxs4104@news1.kr