AI가 해커보다 먼저 버그를 찾는다면
앤트로픽이 신형 AI 모델 클로드 마이토스 프리뷰와 함께 사이버보안 산업 컨소시엄 프로젝트 글래스윙을 출범했다. 마이크로소프트·구글·애플 등 50개 이상 기업이 참여하는 이 협력체가 의미하는 것은 무엇인가.
수십 년 된 코드에 숨어 있던 버그가 AI에 의해 단 몇 분 만에 발견됐다. 인간 보안 연구자들이 수차례 검토하고도 놓쳤던 취약점이다. 이것이 기회인지, 위협인지는 누가 먼저 이 도구를 손에 쥐느냐에 달려 있다.
마이토스 프리뷰: 사이버보안을 위해 만들어지지 않은 사이버 무기
앤트로픽은 지난 3월 말 유출된 정보로 이미 업계의 주목을 받고 있던 신형 AI 모델 클로드 마이토스 프리뷰를 4월 초 공식 발표했다. 동시에 50개 이상의 기술·사이버보안·금융·핵심 인프라 기업이 참여하는 산업 컨소시엄 프로젝트 글래스윙도 함께 출범시켰다.
주목할 점은 이 모델이 처음부터 사이버보안을 목표로 설계된 것이 아니라는 사실이다. 앤트로픽 CEO 다리오 아모데이는 공개 영상에서 "코드를 잘 다루도록 훈련했더니 사이버보안도 잘하게 됐다"고 설명했다. 코딩 능력의 부산물로 취약점 탐지, 익스플로잇 개발, 침투 테스트, 시스템 오설정 탐지, 소스코드 없이 바이너리 분석까지 가능해졌다는 것이다.
마이토스 프리뷰는 현재 일반에 공개되지 않는다. 마이크로소프트, 애플, 구글, 아마존 웹서비스, 시스코, 엔비디아, 브로드컴, 리눅스 재단 등 프로젝트 글래스윙 파트너사들만 비공개로 접근할 수 있다. 이들은 자사 시스템에 이 모델을 적용해 취약점을 먼저 파악하고 방어 체계를 강화하는 시간을 갖게 된다.
'지금 준비하지 않으면 늦는다': 공개 전 예방접종 전략
앤트로픽의 프런티어 레드팀 리드 로건 그레이엄은 WIRED와의 인터뷰에서 이렇게 말했다. "핵심 메시지는 이 모델이나 앤트로픽에 관한 것이 아니다. 6개월, 12개월, 24개월 안에 이런 능력이 광범위하게 퍼질 세상을 지금 준비해야 한다."
이 접근법은 소프트웨어 보안의 전통적 관행인 '조율된 취약점 공개(Coordinated Vulnerability Disclosure)'에서 착안했다. 버그를 발견하면 곧바로 공개하지 않고 개발사에 먼저 알려 패치할 시간을 주는 방식이다. 앤트로픽은 이를 AI 모델 출시에 적용한 셈이다. 위험한 능력을 가진 모델을 일반 공개 전에 방어자들에게 먼저 건네 대비할 시간을 주는 것이다.
실제로 마이토스 프리뷰는 이미 수천 건의 심각한 취약점을 발견했으며, 그중에는 수십 년 동안 전문가들의 눈을 피해온 버그들도 포함되어 있다고 앤트로픽은 밝혔다. 마이크로소프트 글로벌 CISO 이고르 치간스키는 "사이버보안이 순수하게 인간의 역량에만 의존하지 않아도 되는 시대에 접어들었다"고 평가했다.
경쟁사도 손을 잡은 이유
프로젝트 글래스윙에는 앤트로픽의 직접적인 경쟁사인 구글과 마이크로소프트도 참여한다. 이례적인 협력이다. 구글 보안 엔지니어링 부사장 헤더 애드킨스는 "AI가 사이버 방어에 새로운 도전과 기회를 동시에 열고 있다"며 이 이니셔티브를 환영했다.
경쟁사들이 기꺼이 협력에 나선 배경에는 현실적인 계산이 깔려 있다. AI 기반 해킹 도구가 어차피 확산될 것이라면, 방어 측이 먼저 이 기술에 익숙해지는 편이 낫다는 논리다. 또한 앤트로픽만이 이런 수준의 모델을 갖고 있지 않다. 그레이엄은 "더 강력한 모델이 우리와 다른 회사들로부터 계속 나올 것"이라고 말했다. 경쟁이 아닌 생존의 문제로 인식하고 있는 것이다.
그러나 그레이엄은 프로젝트 글래스윙의 한계도 솔직하게 인정했다. "소수의 기업이 모델을 사용하는 것에 그친다면 실패할 것이다. 훨씬 더 큰 무언가로 성장해야 한다."
한국 기업과 인프라는 준비됐나
프로젝트 글래스윙의 참여사 명단에는 현재 한국 기업이 포함되어 있지 않다. 삼성전자, SK하이닉스, 네이버, 카카오 등 국내 주요 기업들은 이 컨소시엄 바깥에서 같은 기술 변화를 맞이하게 된다.
이는 두 가지 측면에서 주목할 필요가 있다. 첫째, 방어적 측면이다. 마이토스 프리뷰 수준의 AI가 악의적 행위자의 손에 들어갈 경우, 컨소시엄 참여사들은 이미 자사 시스템의 취약점을 파악하고 패치한 뒤일 것이다. 반면 참여하지 않은 기업들은 같은 수준의 준비 없이 공격에 노출될 수 있다. 둘째, 기술 접근성의 문제다. 이런 고성능 AI 보안 도구가 특정 글로벌 기업들에게만 먼저 제공되는 구조가 반복된다면, 기술 격차는 단순한 성능 차이를 넘어 보안 역량의 불균형으로 이어질 수 있다.
금융, 에너지, 통신 등 국내 핵심 인프라 운영 기관들도 같은 맥락에서 이 흐름을 주시해야 한다. AI가 취약점을 찾는 속도가 인간의 패치 속도를 앞서기 시작하면, 대응 체계 전반의 재설계가 필요해질 수 있기 때문이다.
본 콘텐츠는 AI가 원문 기사를 기반으로 요약 및 분석한 것입니다. 정확성을 위해 노력하지만 오류가 있을 수 있으며, 원문 확인을 권장합니다.
관련 기사
이란 정부 지원 해커들이 미국 수도·전력·지방정부 시스템을 직접 조작하는 수준으로 사이버 공격을 고도화했다. FBI·NSA·CISA가 공동 경보를 발령한 배경과 한국 기반시설에 주는 시사점을 분석한다.
미국 온라인 학습 플랫폼 Quizlet에 올라온 플래시카드 세트가 미국 세관국경보호국(CBP)의 기밀 보안 절차를 노출했다. 공개된 정보, 닫힌 책임, 그리고 우리가 물어야 할 질문들.
FBI 도청 시스템 해킹, 북한의 2억8000만 달러 암호화폐 탈취, 클로드 코드 소스 유출까지. 2026년 사이버 위협이 일상으로 파고드는 방식을 분석한다.
Anthropic Claude Code 소스코드 유출로 드러난 'Kairos' 기능. 사용자가 자리를 비워도 백그라운드에서 작동하는 AI 에이전트의 등장이 의미하는 것은 무엇인가.
이란 정부 지원 해커들이 미국 수도·전력·지방정부 시스템을 직접 조작하는 수준으로 사이버 공격을 고도화했다. FBI·NSA·CISA가 공동 경보를 발령한 배경과 한국 기반시설에 주는 시사점을 분석한다.
미국 온라인 학습 플랫폼 Quizlet에 올라온 플래시카드 세트가 미국 세관국경보호국(CBP)의 기밀 보안 절차를 노출했다. 공개된 정보, 닫힌 책임, 그리고 우리가 물어야 할 질문들.
FBI 도청 시스템 해킹, 북한의 2억8000만 달러 암호화폐 탈취, 클로드 코드 소스 유출까지. 2026년 사이버 위협이 일상으로 파고드는 방식을 분석한다.
Anthropic Claude Code 소스코드 유출로 드러난 'Kairos' 기능. 사용자가 자리를 비워도 백그라운드에서 작동하는 AI 에이전트의 등장이 의미하는 것은 무엇인가.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요