"Project Glasswing". 앤스로픽이 보안 취약점 탐지 AI '미토스(Mythos)'의 접근 권한을 관리하기 위해 명명한 프로그램이다. 회사는 최근 업데이트를 통해 이 프로그램의 파트너 범위를 미국 및 우방국 정부로 확대하겠다고 밝혔다. 이 폐쇄적 운영 체제의 확장은 역설적으로 미토스급 모델의 일반 공개를 위한 사전 검증 단계라는 점에서 주목된다.
미토스는 프로그래밍 코드 내 보안 취약점을 찾는 능력이 매우 뛰어나, 무분별한 접근 시 사이버 범죄자가 이를 악용할 위험이 크다고 판단해 제한적으로 운영되어 왔다. 참여 기관들은 미토스가 인간이 상당한 시간과 자원을 투입해야 찾을 수 있는 버그들을 빠르게 식별한다고 보고했다. 일부에서는 발견되는 버그의 양이 너무 많아 패치 속도가 따라가지 못할 정도라는 반응이 나온다.
이러한 성능은 이미 국가 단위의 보안 경계심을 자극했다. 일본 정부는 전면적인 보안 리뷰를 명령했고, 인도 당국은 금융기관에 긴급 패치를 요구했다. 이제 앤스로픽은 더 강력한 가드레일을 구축한 뒤 미토스급 모델을 일반에 공개하겠다는 포석을 뒀다. 다만 현재로서는 오용을 완전히 막을 수 있는 안전장치를 개발한 기업이 없다는 점을 인정했다.
핵심 변화
Anthropic이 보안 취약점 탐지 AI인 Mythos(미토스)급 모델의 일반 공개 계획을 발표했다. 현재는 안전성 확보를 위해 제한적으로 운영 중이다. 더 강력한 보호 장치(safeguards)가 개발되는 대로 일반 공개를 추진할 예정이다. 미국 및 동맹국 정부를 포함한 핵심 파트너를 대상으로는 'Project Glasswing(프로젝트 글래스윙, 접근 권한 확대 프로그램)'을 통해 접근 권한을 확대하고 있다.
Mythos의 탐지 성능은 실제 결함 검증 결과로 입증되었다. 고위험 또는 심각 등급으로 분류된 취약점 1,752건을 검토한 결과 90.6%인 1,587건이 유효한 결함으로 판명되었다. 이 중 62.4%에 해당하는 1,094건은 최종적으로 고위험 또는 심각 수준의 취약점으로 확정되었다. AI가 탐지한 고위험군 데이터의 높은 정밀도는 보안 시장의 판도를 바꿀 수 있는 수치다.
AI 기반 취약점 탐지 모델의 등장은 글로벌 보안 지형에 과부하와 패닉을 야기하고 있다. 일본 정부는 전면적인 보안 검토를 명령했다. 인도 당국은 금융 기관에 패치 작업을 요구했다. 오픈소스 유지관리자들은 AI가 생성한 저품질 버그 보고서의 범람으로 처리 용량 한계에 부딪히고 있다. 이는 AI의 탐지 능력이 기존의 보안 대응 체계를 압도하고 있음을 보여주는 포석이다.
기존과의 차이
Mythos는 인터넷과 Anthropic 자체 인프라의 상당 부분을 지탱하는 1,000개 이상의 오픈소스 프로젝트를 대상으로 전수 스캔을 수행했다. 이 과정에서 총 23,019개의 결함을 발견하며 보안 탐지의 새로운 지형을 확인했다. 발견된 결함 중 고위험 또는 심각 수준의 취약점은 약 6,202개로 추산된다. 이는 현대 인터넷 인프라의 근간이 되는 오픈소스 프로젝트들에 상당한 보안 공백이 존재함을 보여준다.
탐지된 결함의 실질적 위협은 wolfSSL(암호화 라이브러리) 사례에서 극명하게 드러난다. 해당 라이브러리는 전 세계 수십억 개의 기기에서 사용되는 핵심 요소다. Mythos는 공격자가 인증서를 위조해 은행이나 이메일 제공업체의 가짜 웹사이트를 호스팅할 수 있게 하는 심각한 취약점을 찾아냈다. 현재 이 결함은 패치 완료되었으며 관련 내용은 CVE-2026-5194를 통해 확인할 수 있다.
하지만 강력한 탐지 능력은 역설적으로 모델 오용이라는 새로운 리스크를 야기했다. 현재 Anthropic을 포함한 어떤 기업도 AI 모델의 오용을 완전히 막을 수 있는 보호 장치를 개발하지 못한 상태다. Anthropic은 현재 수준의 보호 장치만으로는 모델이 오용되어 심각한 피해를 입히는 상황을 방지하기에 부족하다는 점을 공식 인정했다. 기술의 파괴력이 통제 능력을 상회하는 지점에 도달한 것이다.
이에 Anthropic은 Mythos의 일반 공개를 미루는 전략적 포석을 택했다. 무분별한 배포 대신 Project Glasswing(제한적 접근 방식)과 같은 통제된 접근 방식을 도입했다. 이는 기술적 우위를 확보하면서도 오용으로 인한 사회적 파장을 관리하려는 기업 전략의 결과다.
