앤트로픽, AI 기반 사이버보안 이니셔티브 'Project Glasswing' 발표...주요 IT 기업 12곳과 협력해 제로데이 취약점 탐지 시스템 구축

[한국정보기술신문] 생성형 AI 개발업체 앤트로픽이 7일(현지시간) AI 기반 사이버보안 이니셔티브 'Project Glasswing'을 발표했다고 밝혔다. 이 프로젝트에는 AWS, 애플, 브로드컴, 시스코, 크라우드스트라이크, 구글, JP모건체이스, 리눅스재단, 마이크로소프트, 엔비디아, 팰로알토 네트웍스 등 주요 기술 및 금융 기업 12곳이 참여한다.

이번 이니셔티브의 핵심은 앤트로픽의 차세대 AI 모델인 'Claude Mythos Preview'다. 이 모델은 소프트웨어 취약점 발견과 악용 분야에서 숙련된 인간 보안 전문가 수준의 성능을 보인다고 앤트로픽은 설명했다. Claude Mythos Preview는 주요 운영체제와 웹 브라우저에서 수천 개의 고위험 제로데이 취약점을 식별해냈다.

특히 주목할 만한 성과로는 OpenBSD에서 27년 된 보안 결함을 발견한 것과 FFmpeg에서 16년 된 취약점을 찾아낸 것이다. FFmpeg 취약점은 500만 회의 자동화 테스트에서도 발견되지 않았던 것으로 알려졌다. 또한 이 AI 모델은 여러 리눅스 커널 취약점을 자율적으로 식별하고 연쇄적으로 연결하는 능력도 보여줬다.

앤트로픽이 공개한 성능 지표에 따르면 Claude Mythos Preview는 CyberGym 취약점 재현 벤치마크에서 83.1%의 성과를 기록했다. 이는 현재 상용 모델인 Claude Opus 4.6의 66.6%보다 크게 향상된 수치다. 이러한 성능 개선은 AI가 사이버보안 분야에서 인간 전문가 수준의 능력에 근접하고 있음을 시사한다.

앤트로픽은 이번 이니셔티브를 위해 1억 달러 상당의 모델 사용 크레딧을 참여 기관에 제공한다고 발표했다. 또한 오픈소스 보안 이니셔티브에 직접 400만 달러를 기부할 예정이다. 연구 단계가 끝난 후에는 입력 토큰 100만 개당 25달러, 출력 토큰 100만 개당 125달러의 요금을 적용할 계획이다.

이러한 대규모 투자는 AI 기술이 악의적 목적으로 활용되기 전에 방어 체계를 구축하려는 전략적 접근으로 풀이된다. 앤트로픽은 AI 능력이 발전함에 따라 악의적 행위자들도 동일한 도구에 접근할 수 있게 될 것이라고 경고하며, 현재 시점에서 인프라 관리자들에게 방어 역량을 제공하는 것이 중요하다고 강조했다.

Project Glasswing의 참여 기업들은 발견된 취약점을 90일 내에 공유하기로 약속했다. 이는 업계 표준 개발을 통해 취약점 공개, 소프트웨어 업데이트, 공급망 보안, 개발 생명주기 관행을 포괄하는 포괄적인 보안 체계 구축을 목표로 한다.

이번 이니셔티브는 AI가 사이버보안 분야에서 단순한 보조 도구를 넘어 핵심 방어 수단으로 자리잡을 가능성을 보여준다. 기존의 시그니처 기반 탐지나 행위 분석을 뛰어넘어 AI가 직접 코드를 분석하고 취약점을 발견하는 시대가 열리고 있다.

보안 업계 전문가들은 이러한 AI 기반 취약점 탐지 기술이 소프트웨어 개발 주기 전반에 통합될 경우 사이버보안 수준을 획기적으로 높일 수 있을 것으로 전망하고 있다. 특히 제로데이 공격에 대한 선제적 방어가 가능해져 기업과 정부기관의 중요 인프라 보호에 큰 도움이 될 것으로 기대된다.