🖼️ 인포그래픽

🖼️ 4컷 인포그래픽

💡 한 줄 요약

Project Glasswing의 초기 결과는 AI가 고위험 소프트웨어 취약점 발견 속도를 크게 끌어올리면서, 이제 병목이 발견이 아니라 검증·공개·패치·배포 역량으로 이동했음을 보여준다.

📌 핵심 요약

• Anthropic은 Project Glasswing 출시 후 약 50개 파트너와 함께 Claude Mythos Preview를 사용해 세계적으로 중요한 소프트웨어에서 1만 개가 넘는 고위험 또는 치명적 취약점을 찾아냈다고 설명한다.
• 기존에는 새로운 취약점을 얼마나 빨리 찾느냐가 보안 진전의 한계였지만, Mythos Preview 이후에는 AI가 찾아낸 대량의 취약점을 사람이 얼마나 빨리 검증하고, 책임 있게 공개하고, 패치하느냐가 핵심 병목이 됐다.
• 파트너와 외부 평가자들은 Mythos Preview가 기존 모델보다 훨씬 높은 취약점 발견 성능을 보였다고 보고했으며, Cloudflare, Mozilla, XBOW, 영국 AI Security Institute 등의 사례가 그 근거로 제시됐다.
• Anthropic은 1,000개가 넘는 오픈소스 프로젝트도 스캔했으며, Mythos Preview가 추정한 고위험 또는 치명적 취약점 6,202개 중 일부를 독립 보안 연구기관 등이 검증한 결과 높은 비율의 실제 취약점이 확인됐다고 밝혔다.
• 글은 Mythos급 모델이 취약점 발견과 악용 비용을 낮추는 과도기적 위험을 키우는 만큼, 개발자는 패치 주기를 단축하고 사용자의 업데이트를 쉽게 만들어야 하며, 네트워크 방어자는 패치 테스트와 배포 속도 및 기본 보안 통제를 강화해야 한다고 강조한다.

🧩 주요 포인트

1. Anthropic은 Project Glasswing 출시 후 약 50개 파트너와 함께 Claude Mythos Preview를 사용해 세계적으로 중요한 소프트웨어에서 1만 개가 넘는 고위험 또는 치명적 취약점을 찾아냈다고 설명한다.
2. 기존에는 새로운 취약점을 얼마나 빨리 찾느냐가 보안 진전의 한계였지만, Mythos Preview 이후에는 AI가 찾아낸 대량의 취약점을 사람이 얼마나 빨리 검증하고, 책임 있게 공개하고, 패치하느냐가 핵심 병목이 됐다.
3. 파트너와 외부 평가자들은 Mythos Preview가 기존 모델보다 훨씬 높은 취약점 발견 성능을 보였다고 보고했으며, Cloudflare, Mozilla, XBOW, 영국 AI Security Institute 등의 사례가 그 근거로 제시됐다.
4. Anthropic은 1,000개가 넘는 오픈소스 프로젝트도 스캔했으며, Mythos Preview가 추정한 고위험 또는 치명적 취약점 6,202개 중 일부를 독립 보안 연구기관 등이 검증한 결과 높은 비율의 실제 취약점이 확인됐다고 밝혔다.
5. 글은 Mythos급 모델이 취약점 발견과 악용 비용을 낮추는 과도기적 위험을 키우는 만큼, 개발자는 패치 주기를 단축하고 사용자의 업데이트를 쉽게 만들어야 하며, 네트워크 방어자는 패치 테스트와 배포 속도 및 기본 보안 통제를 강화해야 한다고 강조한다.

🧠 상세 정리

1. Project Glasswing의 목적과 초기 문제의식

이 글은 Project Glasswing이 점점 더 강력해지는 AI 모델이 세계의 핵심 소프트웨어를 공격하는 데 쓰이기 전에, 그 소프트웨어를 먼저 보호하려는 협력 프로젝트로 출발했다는 점에서 시작한다. Anthropic은 출시 한 달 뒤 약 50개 파트너와 Claude Mythos Preview를 활용해 세계적으로 중요한 소프트웨어에서 1만 개가 넘는 고위험 또는 치명적 취약점을 찾았다고 밝힌다. 핵심 변화는 취약점 발견 자체가 과거보다 훨씬 쉬워졌다는 데 있다. 이제 보안의 한계는 취약점을 찾는 속도가 아니라, AI가 만들어낸 대량의 결과를 사람이 검증하고 공개하고 패치하는 속도에 놓이게 됐다.

2. 공개 가능한 정보의 한계와 책임 있는 취약점 공개

Anthropic은 Mythos Preview의 구체적 발견 내용을 모두 공개하지 않는 이유를 소프트웨어 업계의 취약점 공개 관행과 연결해 설명한다. 일반적으로 새 취약점은 발견 후 90일, 또는 패치가 먼저 만들어진 경우 패치 공개 후 약 45일 뒤에 공개되며, 이는 사용자가 업데이트할 시간을 확보하기 위한 방식이다. 따라서 공개된 취약점 수는 AI 모델의 실제 사이버 역량을 뒤늦게 보여주는 지표일 수밖에 없다. 아직 파트너들이 발견한 내용을 자세히 공개하면 최종 사용자에게 위험을 줄 수 있기 때문에, 글은 성능 사례와 집계 통계 중심으로 현재 상황을 설명하겠다고 선을 긋는다.

3. 파트너와 외부 평가에서 나타난 Mythos Preview의 성능

Project Glasswing의 초기 파트너들은 인터넷과 필수 인프라 작동에 중요한 소프트웨어를 만들고 유지하는 조직들이다. 이들의 코드 결함을 고치는 일은 해당 소프트웨어에 의존하는 수많은 조직과 수십억 명의 최종 사용자 위험을 줄이는 효과를 가진다. 한 달 동안 대부분의 파트너는 각자 수백 개의 치명적 또는 고위험 취약점을 찾았고, 전체로는 1만 개를 넘겼다. 일부 파트너는 버그 발견 속도가 10배 이상 증가했다고 전했으며, Cloudflare는 핵심 경로 시스템 전반에서 2,000개 버그를 찾고 그중 400개를 고위험 또는 치명적 취약점으로 분류했다고 제시된다.

4. 외부 벤치마크와 실제 보안 작업 사례

글은 Mythos Preview의 성능이 파트너의 내부 경험뿐 아니라 외부 평가와도 일치한다고 설명한다. 영국 AI Security Institute는 Mythos Preview가 다단계 사이버공격 시뮬레이션인 두 개의 사이버 레인지를 처음으로 끝까지 해결한 모델이라고 보고했다. Mozilla는 Mythos Preview를 테스트하면서 Firefox 150에서 271개 취약점을 찾아 고쳤으며, 이는 Claude Opus 4.6으로 Firefox 148에서 찾은 수보다 10배 이상 많다고 설명된다. XBOW는 웹 익스플로잇 벤치마크에서 기존 모델보다 크게 앞섰다고 평가했고, ExploitBench와 ExploitGym도 Mythos Preview를 가장 강한 성능의 모델로 제시했다고 글은 전한다.

5. 패치 규모 증가와 보안 운영 활용

Anthropic은 취약점 발견 증가가 실제 패치 흐름에도 영향을 주고 있다고 말한다. Palo Alto Networks의 최신 릴리스에는 평소보다 5배가 넘는 패치가 포함됐고, Microsoft는 새 패치 수가 한동안 계속 커질 것이라고 언급했으며, Oracle도 제품과 클라우드 전반에서 취약점을 이전보다 여러 배 빠르게 찾고 고치고 있다고 소개된다. Mythos Preview는 취약점 탐지 외의 보안 작업에도 유용했다고 설명된다. 예를 들어 Project Glasswing의 한 파트너 은행에서는 고객 이메일 계정이 침해되고 위조 전화가 동원된 상황에서, 150만 달러 규모의 사기 송금을 탐지하고 막는 데 도움이 됐다고 제시된다.

6. 오픈소스 프로젝트 스캔 결과와 검증 수치

Anthropic은 지난 몇 달 동안 Mythos Preview로 1,000개가 넘는 오픈소스 프로젝트를 스캔했으며, 이 프로젝트들이 인터넷과 Anthropic 자체 인프라의 중요한 기반이라고 설명한다. Mythos Preview는 전체 23,019개 취약점을 추정했고, 그중 6,202개를 고위험 또는 치명적 취약점으로 분류했다. 이 가운데 1,752개 고위험 또는 치명적 추정 취약점은 여섯 곳의 독립 보안 연구회사 또는 Anthropic이 신중하게 평가했다. 평가 결과 90.6%인 1,587개가 실제 양성으로 확인됐고, 62.4%인 1,094개는 고위험 또는 치명적 심각도로 확인됐다.

7. wolfSSL 사례와 인간 검증 병목

글은 Mythos Preview가 발견한 오픈소스 취약점의 예로 wolfSSL을 든다. wolfSSL은 보안성으로 알려진 오픈소스 암호화 라이브러리이며 전 세계 수십억 기기에서 사용된다고 설명된다. Mythos Preview는 공격자가 인증서를 위조해 은행이나 이메일 제공업체의 가짜 웹사이트를 합법적인 것처럼 보이게 만들 수 있는 익스플로잇을 구성했다. 이 취약점은 패치됐고 CVE-2026-5194가 부여됐으며, Anthropic은 이후 전체 기술 분석을 공개하겠다고 밝혔다. 이 사례는 발견 자체보다 재현, 심각도 재평가, 보고서 작성, 패치 설계와 배포가 더 큰 부담이 됐다는 글의 중심 논점을 잘 보여준다.

8. 공개·패치 절차의 복잡성과 생태계 부담

Anthropic의 취약점 triage 절차는 Mythos가 찾은 문제를 재현하고 심각도를 다시 평가하는 데서 시작한다. 실제 취약점으로 확인되면 이미 수정이 있는지 확인하고, 소프트웨어 유지관리자에게 상세 보고서를 작성한다. 글은 오픈소스 유지관리자들이 기존 유지보수 부담에 더해 낮은 품질의 AI 생성 버그 보고서까지 쏟아지는 상황에 놓여 있다고 설명한다. 일부 유지관리자는 패치를 설계할 시간이 필요하다며 공개 속도를 늦춰 달라고 요청했고, Mythos Preview가 찾은 고위험 또는 치명적 버그는 평균적으로 패치까지 2주가 걸린다고 제시된다.

9. 현재 공개·패치 현황과 낮은 패치 수의 이유

Anthropic은 유지관리자 요청에 따라 추가 평가 없이 직접 공개한 버그가 1,129개이며, 이 중 Mythos Preview가 175개를 고위험 또는 치명적 취약점으로 추정했다고 말한다. 전체적으로 지금까지 유지관리자에게 공개한 고위험 또는 치명적 버그는 530개로 추정되며, 추가로 827개의 확인된 취약점을 가능한 빨리 공개하려 한다고 설명한다. 보고된 530개 중 75개가 패치됐고, 그중 65개에는 공개 보안 권고가 붙었다. 패치 수가 아직 낮은 이유로는 90일 공개 창구의 초기 단계라는 점, 공개 권고 없이 패치되는 경우가 있어 과소계산될 수 있다는 점, 그리고 보안 생태계가 이미 과부하 상태라는 구조적 문제가 제시된다.

10. 새로운 사이버보안 국면에 대한 대응

글은 Mythos Preview와 비슷한 사이버보안 역량을 가진 모델들이 곧 더 넓게 사용 가능해질 것이며, 소프트웨어 업계 전체가 이 모델들이 만들어낼 대량의 발견을 관리해야 한다고 주장한다. 취약점 발견, 패치 생성, 최종 사용자 배포 사이의 지연은 공격자에게 중요한 기회를 남기며, Mythos급 모델은 취약점 발견과 악용에 필요한 시간과 비용을 줄여 이 위험을 키운다. 장기적으로는 개발자가 배포 전에 버그를 더 잘 잡아 훨씬 안전한 소프트웨어를 만들 수 있지만, 지금은 취약점은 빠르게 발견되고 패치는 느리게 적용되는 과도기다. 따라서 개발자는 패치 주기를 줄이고 업데이트 설치를 쉽게 해야 하며, 네트워크 방어자는 패치 테스트와 배포 일정을 단축하고 기본 설정 강화, 다중 인증, 포괄적 로그 유지 같은 핵심 통제를 더 중시해야 한다.

🧾 핵심 주장 / 시사점

• 이 글의 핵심은 AI가 보안 문제를 ‘발견 부족’에서 ‘처리 능력 부족’의 문제로 바꾸고 있다는 점이다. 취약점 탐지 성능이 좋아질수록 검증자, 유지관리자, 패치 배포 체계의 병목이 더 선명해진다.
• Mythos Preview의 성과는 방어자에게 큰 기회이지만, 같은 유형의 모델이 널리 쓰이면 패치 지연 기간의 위험도 커진다. 따라서 모델 성능 자체보다 공개·패치·배포 생태계의 속도 개선이 실질적인 방어력의 핵심이 된다.
• 오픈소스 유지관리자들이 이미 과부하 상태라는 대목은 AI 보안 자동화가 단순히 더 많은 보고서를 만드는 방향으로는 충분하지 않다는 점을 보여준다. 고품질 triage, 재현 가능성, 책임 있는 공개 절차, 유지관리자 지원이 함께 설계되어야 한다.

✅ 액션 아이템

• Project Glasswing의 핵심 병목을 “취약점 발견”이 아니라 “검증·책임 있는 공개·패치·배포”로 재정의하고, 90일/45일 공개 관행 안에서 처리 가능한 triage 용량을 별도 지표로 관리한다.
• Mythos Preview가 1,000개 이상 오픈소스 프로젝트에서 추정한 6,202개 고위험·치명적 취약점, 독립 검증 후 90.6% true positive와 62.4% 고위험·치명 등급이 나왔다는 수치를 기준으로, AI 보안 도구 도입 시 false positive보다 후속 패치 처리량을 먼저 점검한다.
• Cloudflare 2,000개 버그·400개 고위험/치명, Mozilla Firefox 271개 취약점, 파트너 은행의 150만 달러 사기 송금 차단 사례처럼 “탐지 성능”과 “운영 성과”를 구분해, 조직별로 어떤 업무에 Mythos급 모델을 우선 적용할지 정한다.
• 오픈소스 유지관리자에게 낮은 품질의 AI 생성 보고서가 몰리는 문제를 줄이기 위해, 재현 절차·심각도 재평가·기존 패치 확인·상세 보고서 작성까지 포함한 제출 기준을 마련한다.

❓ 열린 질문

• Mythos급 모델이 공개되기 전, 방어자는 어떤 지표로 “취약점 발견 속도”와 “패치 가능한 속도”의 격차를 측정해야 할까?
• 90일 공개 창구와 평균 2주 패치 소요가 유지되는 상황에서, AI가 발견한 취약점 827개를 빠르게 공개하려면 어떤 유지관리자 지원 구조가 필요할까?
• Claude Security, Cyber Verification Program, Mythos Preview 도구 공개가 방어자에게 이익이 되면서도 공격적 오용을 늦추려면 어떤 접근 통제와 감사 체계가 필요할까?