보안 취약점 쏟아내는 미토스, 검증·패치 속도가 병목
앤트로픽이 ‘클로드 미토스 프리뷰’의 소프트웨어 취약점 탐지 성과를 공유하며, 이에 대응할 보안 생태계의 역량 문제를 언급했다. 관리자가 취약점을 검증하고 패치하는 속도가 AI의 탐지 속도를 따라가지 못한다는 분석이다.
앤트로픽은 4월부터 진행된 프로젝트 글래스윙의 초기 성과를 22일 공개했다. 글래스윙은 미토스 프리뷰를 이용해 소프트웨어 보안 취약점을 미리 찾아 대응하려는 협력 프로젝트다. 앤트로픽 주도로 50여개 파트너사가 참여한다.
이번 성과 발표에 따르면 파트너사들은 모두 합해 1만개가 넘는 취약점을 찾아냈다. 앤트로픽은 “대부분의 파트너사가 한달 만에 각자 소프트웨어에서 수백개의 심각한 취약점을 발견했다”고 밝혔다. 일례로 클라우드플레어는 자사 핵심 시스템에서 2000개에 달하는 버그를 발견했으며, 400개는 고위험·치명적 등급이었다.
앤트로픽은 또한 1000개 이상의 오픈소스 소프트웨어 검사에 미토스 프리뷰를 투입해 2만3019개 취약점 후보를 탐지해냈다. 이 중 고위험·치명적 분류군의 표본 취약점 1752건을 정밀 검토한 결과 90.6%가 실제 결함, 62.4%가 심각한 수준의 실제 결함으로 확인됐다.
다만 취약점 발견이 패치로 이어진 비율은 극히 낮았다. 전체 오픈소스 취약점 2만3019개 중 97개에 대해서만 패치가 이뤄졌다. 관리자에게 보고된 심각 수준 버그 530개 중에서도 패치된 것은 75개뿐이었다.
저조한 패치율의 원인은 취약점 탐지 이후 처리 과정에 있다. 먼저 앤트로픽이나 외부 보안 연구 기업이 취약점 후보의 위험도를 평가해 분류한다. 이후 실제 위협이 되는 취약점이 추려지면 앤트로픽이 상세 보고서를 작성하고, 오픈소스 관리자가 보고서를 전달받아 검토하는 식이다. 일부 관리자는 앤트로픽을 거치지 않고 취약점을 자체 검증키도 했다. 이러한 분류·검증 과정은 사람의 정밀한 판단이 요구되므로 속도가 더디다.
패치 자체에도 시간이 걸린다. 앤트로픽에 따르면 심각한 버그 하나를 분석하고 패치를 설계·배포하는 데 평균 2주가 소요된다. 여기에 더해 최근 오픈소스 관리자들은 버그 헌터들이 AI로 마구 생성해내는 저품질 버그 보고서를 걸러내는 작업까지 해야 한다. 앤트로픽은 관리자들이 이런 상황 탓에 “극심한 피로를 호소하고 있다”고 설명했다.
취약점 발견은 빨라지고 패치 적용은 느린 현 상황을 앤트로픽은 “과도기(interim period)”로 정의한다. 향후 AI가 방어자 도구로 자리잡을 수 있지만, 지금 당장은 취약점 발견과 패치 사이에 처리 역량 한계로 인한 시간차가 있어 위험하다는 의미다.
앤트로픽은 이 공백을 줄이기 위해 패치 주기를 단축하고 보안 수정 사항을 최대한 신속하게 배포할 것을 권고했다. 또한 다중 인증, 로그 관리 등 특정 패치 배포 여부에 의존하지 않는 기본 방어 체계도 확립해 두어야 한다고 덧붙였다.
한편 앤트로픽은 현재 미토스급 모델의 악용을 완벽히 통제할 세이프가드가 부족하다는 이유로 출시를 보류한 상태다. 이들은 각국 정부 및 핵심 파트너와 협력해 프로젝트 글래스윙의 범위를 넓히고, 세이프가드가 마련되는 대로 해당 모델을 일반에 공개할 예정이라고 전했다.
글. 바이라인네트워크
<이슬찬 기자>seulbae@byline.network



