Project Glasswing: AI 시대의 핵심 소프트웨어 보안을 위한 글로벌 협력

• Amazon, Apple, Google, Microsoft 등 주요 기술 기업이 참여한 Project Glasswing은 AI를 활용해 전 세계 핵심 소프트웨어의 보안 취약점을 탐지하고 방어하는 협력 이니셔티브임
• Anthropic의 Claude Mythos 2 Preview 모델이 중심 역할을 하며, 이미 주요 운영체제와 브라우저에서 수천 건의 고심각도 취약점을 발견함
• Mythos Preview는 인간 개입 없이 자율 탐지와 익스플로잇 생성이 가능하며, OpenBSD·FFmpeg·Linux 커널 등에서 수십 년간 잠재된 결함을 찾아냄
• Anthropic은 프로젝트에 1억 달러 상당의 모델 크레딧과 4백만 달러의 오픈소스 보안 단체 기부금을 제공하고, 파트너들은 이를 활용해 취약점 탐지·보안 테스트·침투 평가를 수행할 예정임
• Glasswing은 AI 시대의 사이버보안 표준과 실천 지침 수립을 목표로 하며, 장기적으로 민관 협력 기반의 지속 가능한 보안 체계 구축을 지향함

Project Glasswing 개요

• Project Glasswing은 Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks 등이 참여한 글로벌 사이버보안 협력 프로젝트임
• Anthropic의 Claude Mythos 2 Preview 모델을 기반으로 AI를 활용해 전 세계 핵심 소프트웨어의 보안 취약점을 탐지하고 방어하는 것을 목표로 함
• Mythos Preview는 주요 운영체제와 웹 브라우저 등에서 수천 건의 고심각도 취약점을 발견했으며, 이는 인간 전문가 대부분을 능가하는 수준의 성능임
• Anthropic은 프로젝트를 위해 최대 1억 달러 상당의 모델 사용 크레딧과 4백만 달러의 오픈소스 보안 단체 기부금을 제공함
• 프로젝트는 AI 시대의 사이버보안 표준과 실천 지침 마련을 위한 장기적 협력의 출발점으로 설정됨

AI 시대의 사이버보안 환경

• 금융, 의료, 에너지, 운송, 정부 등 핵심 인프라 소프트웨어에는 항상 버그와 보안 결함이 존재함
• AI 모델의 발전으로 취약점 탐지와 악용의 비용 및 전문성 요구 수준이 급격히 낮아짐
• Claude Mythos Preview는 수십 년간 인간 검토와 자동화 테스트에서도 발견되지 않았던 오래된 보안 결함을 찾아냄
• 이러한 AI 능력이 악용될 경우 사이버공격의 빈도와 파괴력이 크게 증가해 국가 안보 위협으로 이어질 수 있음
• 동시에 동일한 기술이 방어 측면에서도 혁신적 도구가 될 수 있어, AI 기반 보안 강화가 필수적임

Claude Mythos Preview의 취약점 탐지 성과

• Mythos Preview는 최근 몇 주간 모든 주요 운영체제와 웹 브라우저에서 수천 건의 제로데이 취약점을 발견함
• 모델은 인간 개입 없이 자율적으로 취약점을 탐지하고 익스플로잇을 개발함
• 주요 발견 사례
  • OpenBSD: 27년간 존재한 취약점 발견, 원격 시스템 다운 가능 결함
  • FFmpeg: 16년간 존재한 취약점 발견, 자동화 테스트 500만 회에도 검출되지 않았던 문제
  • Linux 커널: 여러 취약점을 연쇄적으로 이용해 권한 상승 공격 가능성 확인
• 모든 취약점은 해당 프로젝트 유지보수자에게 보고되어 패치 완료됨
• CyberGym 벤치마크에서 Mythos Preview는 83.1%, 이전 모델 Opus 4.6은 66.6% 로 성능 차이를 보임

파트너사들의 참여와 평가

• Cisco: AI가 보안 인프라 보호의 긴급성을 근본적으로 변화시켰으며, 기존 보안 강화 방식만으로는 충분하지 않음을 강조
• AWS: 매일 400조 개의 네트워크 흐름을 분석하며 Claude Mythos Preview를 활용해 코드 기반 보안 강화 중
• Microsoft: CTI-REALM 벤치마크에서 Mythos Preview가 이전 모델 대비 큰 향상을 보였으며, AI 기반 보안 확장을 추진 중
• CrowdStrike: AI로 인해 취약점 발견과 공격 간의 시간 간격이 분 단위로 단축되었으며, AI 방어 역량의 신속한 배포 필요성을 강조
• 오픈소스 커뮤니티: Glasswing을 통해 보안팀이 부족한 오픈소스 유지보수자에게도 AI 기반 취약점 탐지 도구 제공
• JPMorganChase: 금융 시스템의 사이버 회복력 강화를 위해 업계 공동 대응의 중요성을 강조
• Google: Vertex AI를 통해 Mythos Preview를 제공하며, AI 기반 보안 도구(Big Sleep, CodeMender) 를 지속 개발 중

Claude Mythos Preview의 기술적 성능

• Mythos Preview는 코딩 및 추론 능력에서 Anthropic의 기존 모델을 크게 능가함
• 주요 벤치마크 결과
  • SWE-bench Verified/Pro/Multilingual 등에서 Opus 4.6 대비 20~30% 이상 향상
  • Terminal-Bench 2.0에서 92.1% 달성 (Opus 4.6은 77.8%)
  • 도구 미사용 시 56.8% vs 40.0%, 도구 사용 시 64.7% vs 53.1%
  • Humanity’s Last Exam에서 86.9% vs 83.7%
  • BrowseComp에서 4.9배 적은 토큰 사용으로 더 높은 점수 기록
• Anthropic은 Mythos Preview의 공개 배포 계획은 없으며, 향후 보안 안전장치가 강화된 Claude Opus 모델을 통해 점진적 확산을 추진할 예정임

Project Glasswing의 향후 계획

• 파트너들은 Claude Mythos Preview를 활용해 핵심 시스템의 취약점 탐지, 바이너리 블랙박스 테스트, 엔드포인트 보안, 침투 테스트 등을 수행할 예정
• Anthropic은 1억 달러 상당의 모델 사용 크레딧을 제공하고, 이후에는 입력 100만 토큰당 25달러, 출력 100만 토큰당 125달러로 이용 가능

• 오픈소스 보안 단체 지원

  • Linux Foundation 산하 Alpha-Omega, OpenSSF에 250만 달러
  • Apache Software Foundation에 150만 달러 기부
  • 오픈소스 유지보수자는 Claude for Open Source 프로그램을 통해 접근 가능
  • 90일 내 취약점 수정 및 개선 사항 보고서를 공개하고, AI 시대 보안 실천 지침을 공동 개발할 계획
  • 취약점 공개 절차
  • 소프트웨어 업데이트 프로세스
  • 오픈소스 및 공급망 보안
  • 보안 중심 개발 생명주기
  • 규제 산업 표준
  • 자동화된 취약점 분류 및 패치 시스템
  • Anthropic은 미국 정부와 협의 중이며, AI 기반 사이버 역량의 국가 안보적 영향 평가 및 완화를 지원할 예정
  • 장기적으로는 민관 협력의 독립적 제3기관이 대규모 사이버보안 프로젝트를 지속 관리하는 구조를 목표로 함