취약점 1만 건 찾아낸 Claude Mythos, 전 세계 핵심 인프라 보안으로 확장

AI 코드 검토의 실무적 한계와 1만 건의 취약점 발견

보안 전문가들은 AI가 생성한 코드의 보안 취약점을 사람이 일일이 검토해야 하는 실무적 부담이 이미 임계점을 넘었다고 판단했다. 앤스로픽의 초기 파트너 50개사는 클로드 미토스 프리뷰(Claude Mythos Preview)를 도입해 각사의 코드베이스를 스캔하고 1만 개 이상의 고위험 및 치명적 보안 결함을 발견했다. 이는 인간 보안 전문가가 수작업으로 대응할 수 없는 규모의 취약점이 AI의 대규모 스캔 한 번으로 드러난 결과다.

파트너사들은 미토스 프리뷰를 통해 발견된 결함을 분류하고 제3자 기관과 협력해 우선순위를 정하는 트리아지(Triage) 작업을 수행했다. 앤스로픽은 이러한 대응 방법론이 사이버 공격에 취약한 수백만 개의 조직과 개발자들에게 널리 복제되어 적용되어야 한다고 강조했다. 이를 지원하기 위해 앤스로픽은 신뢰할 수 있는 보안 팀의 요청이 있을 경우, 취약점을 더 빠르게 찾을 수 있도록 개발한 전용 도구들을 제공하고 있다.

150개 기관 확장과 650억 달러 규모의 자본 확충

앤스로픽은 소프트웨어 보안 협력 체계인 프로젝트 글래스윙(Project Glasswing)의 파트너십을 150개 신규 조직으로 확대했다. 신규 참여 기관은 15개국 이상에 분포하며, 전력, 수도, 의료, 통신, 하드웨어 등 국가 핵심 인프라를 제공하는 산업군이 대거 포함됐다. 특히 정부를 포함해 전 세계 수많은 조직이 의존하는 코드베이스를 관리하는 벤더사와 비영리 단체들이 주축을 이룬다. 앤스로픽은 성공적인 공격 발생 시 1억 명 이상의 사용자에게 영향을 미칠 수 있는 고위험군 조직을 우선적으로 선정했으며, 모든 신규 파트너는 엄격한 보안 요구사항을 충족해야 접근 권한을 얻는다.

기술적 영향력 확대는 대규모 자본 유치로 이어졌다. Altimeter Capital, Dragoneer, Greenoaks, Sequoia Capital은 앤스로픽의 시리즈 H 펀딩을 650억 달러 규모로 주도했다. 앤스로픽은 이와 동시에 미국 증권거래위원회(SEC)에 S-1 등록 서류를 기밀로 제출하며 기업 공개(IPO)를 위한 상장 준비 절차에 착수했다. 이는 보안 시장의 표준을 선점해 기업 가치를 극대화하려는 구체적인 경영 행보다.

클로드 시큐리티와 오퍼스 4.8 기반의 자동 패치 메커니즘

앤스로픽은 탐지 이후의 조치 속도를 높이기 위해 클로드 오퍼스 4.8(Claude Opus 4.8) 모델을 활용한 클로드 시큐리티(Claude Security)를 출시했다. 클로드 시큐리티는 코드베이스를 스캔함과 동시에 해당 프로젝트의 맥락에 최적화된 패치 코드를 자동으로 제안한다. 개발자는 AI가 제안한 수정안을 검토하고 적용함으로써 취약점 노출 시간을 최소화할 수 있다. 또한 출시 전 사전 체크(Pre-release checks) 기능을 통해 취약점이 포함된 코드가 운영 환경에 배포되는 것을 원천적으로 차단한다.

미토스 프리뷰는 단순 탐지를 넘어 고도화된 방어 과업을 수행한다. 모델은 모의 해킹(Penetration Testing) 시뮬레이션을 통해 공격자가 취약점을 악용하는 경로를 식별하고, 위협 탐지 및 대응 프로세스를 자동화한다. 특히 메모리 오염과 같은 고질적 결함이 발생하는 레거시 코드베이스를 메모리 안전 언어(Memory-safe languages)로 재구축하는 기능을 제공해 보안 취약점의 발생 가능성을 근본적으로 제거한다. 앤스로픽은 오픈소스 소프트웨어의 검토 및 패치 규모를 확대하기 위해 제3자 기관과 협의 중이며, 유지관리자가 보고서를 더 쉽게 처리할 수 있도록 하는 최적의 공개 방식을 구축하고 있다.

미토스급 모델의 보편화와 보안 운영 규범의 전환

앤스로픽은 6개월에서 12개월 내에 다른 AI 기업들이 미토스급(Mythos-class) 모델을 출시할 것으로 예상했다. 특히 일부 모델은 오용을 방지하는 안전장치 없이 시장에 공개될 가능성이 크며, 이 경우 사이버 공격의 빈도와 형태가 더욱 예측 불가능하게 급증할 위험이 있다. 앤스로픽은 이러한 위협에 대응하기 위해 사이버 검증 프로그램(Cyber Verification Program)을 확대하여, 특정 방어 과업을 수행하는 조직에 미토스급 역량을 부여함으로써 방어자가 영구적인 우위를 점하도록 지원한다.

보안의 병목 지점은 이제 '취약점 발견'에서 '검증, 공개, 패치 및 배포' 단계로 완전히 이동했다. 앤스로픽은 지원 범위를 단순 탐지에서 패치 소프트웨어의 실제 배포 단계까지 확장하여 산업계가 새로운 운영 규범에 적응하도록 돕고 있다. 고성능 사이버 도구의 일반 공개를 위해서는 오용을 막는 정밀한 안전장치가 필수적이지만, 현재 모든 AI 개발사는 이를 완벽히 구현하는 데 어려움을 겪고 있다. 결국 AI 보안 역량의 실질적 가치는 탐지 능력을 넘어 패치와 배포의 전 과정을 얼마나 자동화했는가라는 실행력의 완성도에 따라 결정될 것이다.