앤트로픽, AI로 보안 취약점 찾는 ‘프로젝트 글래스윙’ 공개

앤트로픽은 7일(현지시각) 인공지능(AI) 기반 취약점 탐지 프로젝트 ‘프로젝트 글래스윙(Project Glasswing)’을 공개했다.

앤트로픽에 따르면, 이번 프로젝트는 아마존웹서비스, 애플, 브로드컴, 시스코, 크라우드스트라이크, 구글, JP모건체이스, 리눅스재단, 마이크로소프트, 엔비디아, 팔로알토네트웍스와 함께 세계 핵심 소프트웨어의 취약점을 선제적으로 찾고 막기 위한 프로젝트다.

이번 프로젝트의 중심에는 앤트로픽의 미공개 범용 모델 ‘클로드 미토스 프리뷰(Claude Mythos Preview)’가 있다. 앤트로픽은 이 모델이 소프트웨어 취약점 탐지와 악용 경로 분석에서 최고 수준 보안 전문가 일부를 제외한 대부분 사람을 넘어서는 능력을 보였다고 설명했다. 또 이 모델이 주요 운영체제와 주요 웹브라우저를 포함한 여러 핵심 소프트웨어에서 수천 건의 고위험 취약점을 찾아냈다고 밝혔다.

앤트로픽은 최근 몇 주 동안 미토스 프리뷰를 활용해 이전까지 개발자들이 알지 못했던 제로데이 취약점을 대량으로 식별했다고 설명했다. 공개한 사례로는 오픈비에스디(OpenBSD)의 27년 된 취약점, 동영상 인코딩·디코딩 소프트웨어 에프에프엠펙(FFmpeg)의 16년 된 취약점, 리눅스 커널에서 일반 사용자 권한을 전체 시스템 제어 권한으로 높일 수 있는 취약점 연계 사례가 포함됐다. 트로픽은 이들 취약점이 모두 관련 개발자에게 통보됐고 현재는 패치가 완료됐다고 밝혔다.

프로젝트 글래스윙 참여 기업들은 미토스 프리뷰를 방어 목적 보안 업무에 활용한다. 앤트로픽은 여기에 더해 핵심 소프트웨어와 인프라를 구축·운영하는 40곳 이상 조직에도 접근 권한을 확대했다고 밝혔다. 이 조직들은 자사 소프트웨어와 오픈소스 시스템을 점검하는 데 모델을 쓸 수 있다. 앤트로픽은 이를 위해 최대 1억달러 규모 사용 크레딧과 오픈소스 보안 단체 대상 400만달러(약 58억원) 기부를 지원할 계획이다.

앤트로픽은 최신 AI 모델이 코드 이해와 추론 능력을 빠르게 끌어올리면서 취약점 탐지와 익스플로잇 개발에 드는 비용, 노력, 전문성 문턱이 크게 낮아졌다고 진단했다. 이에 이런 역량이 안전 장치 없이 확산하면 사이버 공격 빈도와 파괴력이 커질 수 있다고 보고, 공격자보다 먼저 방어자가 해당 역량을 활용해야 한다는 취지에서 이번 프로젝트를 시작했다고 설명했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network