본문으로 건너뛰기
J
피드

한국 AI안전연구소, 앤트로픽 ‘글래스윙’ 보안 협력망에 들어가나

security 약 5분
tags
#ai-security#anthropic#vulnerability#cve#governance
vote
0
댓글
북마크

과기정통부가 앤트로픽에 국내 인공지능안전연구소 중심의 AI 안전·사이버보안 협력 체계를 제안함. 앤트로픽의 ‘프로젝트 글래스윙’은 AI로 전 세계 소프트웨어 취약점을 찾고 패치하는 글로벌 보안 이니셔티브라, 한국이 참여하면 취약점 공유와 대응 속도가 크게 빨라질 수 있음.

  • 1

    프로젝트 글래스윙은 앤트로픽이 주도하는 AI 기반 취약점 탐지·패치 협력망임

  • 2

    AWS, 구글, 마이크로소프트, 애플, 엔비디아 등 빅테크와 보안·인프라 기업들이 참여하는 것으로 알려짐

  • 3

    앤트로픽의 비공개 모델 ‘클로드 미토스’는 27년간 놓친 OpenBSD 취약점과 16년간 살아남은 FFmpeg 취약점을 찾아낸 사례가 있음

  • 4

    한국이 참여하면 수개월 단위 취약점 공유·패치 대응을 하루~일주일 수준으로 줄이는 게 목표가 될 수 있음

  • 한국 인공지능안전연구소(AISI)가 앤트로픽의 글로벌 AI 보안 협력망에 합류할 가능성이 커지고 있음

    • 과기정통부가 앤트로픽에 AISI 중심의 AI 안전·사이버보안 협력 체계를 제안했다는 내용임
    • AISI는 2024년 11월 출범한 과기정통부 산하 한국전자통신연구원 부설 조직이고, 한국이 세계 6번째로 만든 AI 안전 전담 기관임

  • 핵심 키워드는 앤트로픽의 ‘프로젝트 글래스윙’임

    • 이 프로젝트는 AI를 써서 전 세계 소프트웨어 취약점을 탐지하고 패치하는 산업계 공동 보안 이니셔티브임
    • 앤트로픽이 주도하고 AWS, 구글, 마이크로소프트, 애플, 엔비디아 같은 빅테크가 참여하는 것으로 알려짐
    • 시스코, 크라우드스트라이크, 브로드컴, 팔로알토 네트웍스, 클라우드플레어, JP모건 체이스도 파트너 명단에 들어가 있음

  • 재밌는 건 공공기관 참여 구도임

    • 해외 공공기관 중에서는 영국 AI안전연구소가 유일하게 함께하는 것으로 전해짐
    • 한국 AISI가 여기에 들어가면, 국내 AI 안전 정책과 글로벌 AI 보안 거버넌스가 직접 연결되는 그림이 됨

중요

> 이 뉴스의 핵심은 “AI가 취약점을 잘 찾는다”가 아니라, 한국이 취약점·패치 정보를 글로벌 빅테크와 얼마나 빨리 공유받을 수 있느냐임.

  • 프로젝트의 기술적 중심에는 앤트로픽의 비공개 AI 모델 ‘클로드 미토스’가 있음

    • 앤트로픽은 이 모델이 세계 최고 수준 보안 전문가를 제외한 대부분의 인간보다 취약점 탐지 성능이 뛰어나다고 설명한 바 있음
    • 미토스는 27년간 발견되지 않았던 OpenBSD 취약점과 16년간 유지된 FFmpeg 취약점을 찾아낸 것으로 알려짐
    • 특히 FFmpeg 취약점은 자동 보안 테스트가 500만 회 이상 수행됐는데도 발견되지 않았던 사례라 꽤 세게 들림

  • 국내 보안 대응에서 진짜 중요한 건 속도임

    • 전문가 의견도 결국 “누가 더 빨리 취약점을 찾고 패치하느냐”로 모임
    • 현재 수개월 단위로 이뤄지는 취약점 공유와 패치 대응을 하루~일주일 수준으로 줄이는 게 핵심 목표로 제시됨
    • 북한 등 국가 단위 공격자가 AI 기반 보안·공격 모델을 개발할 가능성까지 고려하면, 선제 탐지가 방어 우위로 이어질 수 있음

  • 개발자 입장에선 오픈소스 공급망 보안 이슈로 봐야 함

    • OpenBSD나 FFmpeg처럼 오래되고 널리 쓰이는 프로젝트에서도 취약점이 숨어 있을 수 있다는 얘기임
    • 국내 서비스가 이런 컴포넌트를 직접 쓰거나 간접 의존성으로 끌어오고 있다면, 글로벌 패치 정보 접근 속도는 바로 운영 리스크와 연결됨

기술 맥락

  • 이번 선택의 핵심은 AISI를 앤트로픽 중심 협력망에 연결해 취약점 대응 시간을 줄이려는 거예요. 보안은 발견 자체도 중요하지만, 실제 운영 환경에 패치가 도착하기까지의 시간이 길면 공격자에게 창이 열리거든요.

  • 글래스윙이 흥미로운 이유는 AI 모델 하나를 잘 만들었다는 얘기에서 끝나지 않아서예요. AWS, 구글, 마이크로소프트, 애플, 엔비디아, 보안 기업, 금융 기업이 같이 움직이면 취약점 탐지와 패치 배포의 경로가 훨씬 짧아질 수 있어요.

  • 클로드 미토스 사례에서 OpenBSD와 FFmpeg가 언급된 것도 의미가 커요. 둘 다 오래된 오픈소스이고, 특히 FFmpeg는 미디어 처리 파이프라인에서 널리 쓰여서 취약점 하나가 여러 서비스로 번질 수 있거든요.

  • 한국이 이 협력망에 들어가면 정부 기관의 역할은 단순 정책 연구가 아니라 조기 경보와 국내 배포 체계 쪽으로 넓어질 수 있어요. 기사에서 말한 하루~일주일 대응은 결국 국내 개발팀과 보안팀이 체감할 수 있는 운영 지표에 가까워요.

국내 개발자 입장에선 이게 단순한 정부 협력 뉴스가 아니라, 오픈소스 취약점 대응 체계가 글로벌 AI 보안망과 얼마나 빨리 연결되느냐의 문제임. 특히 FFmpeg 같은 범용 컴포넌트 취약점은 국내 서비스에도 바로 영향이 와서, 패치 정보의 속도가 곧 리스크 차이가 됨.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

AI 에이전트 보안, 이제 권한이 아니라 ‘실행 증거’ 싸움으로 간다

오페이크가 AI 에이전트의 ID, 실행 환경, 도구 호출, 정책 적용 여부를 암호학적으로 검증하는 오페이크 3.0을 공개했다. 핵심은 에이전트 매니페스트와 컨피덴셜 MCP라는 두 오픈소스 기술이며, 기밀 컴퓨팅과 서명된 실행 증거를 결합해 감사자나 규제기관도 독립적으로 확인할 수 있게 하는 방향이다. AI 에이전트가 업무 시스템과 데이터를 직접 만지는 시대에는 접근 권한보다 ‘무슨 일을 했는지 증명할 수 있느냐’가 더 중요해지고 있다.

security

취약점 제보가 더 이상 특별하지 않은 시대가 왔다

전 Go 보안팀 리드였던 필리포 발소르다가 LLM 이후 취약점 제보의 의미가 바뀌었다고 주장한다. 예전에는 희소한 통찰과 비공개 제보가 귀했지만, 이제는 잠재 취약점을 찾는 것보다 실제 영향도를 빠르게 가려내는 triage가 병목이라는 얘기다.

security

스패로우, AI가 만든 코드 취약점 잡는 ‘Sparrow MCP’ 출시

스패로우가 AI 코딩 에이전트가 생성한 코드의 보안 취약점과 사용된 오픈소스를 실시간으로 검사하는 보안 어시스턴트 ‘Sparrow MCP’를 출시했다. 핵심 기능은 취약점 분석과 소프트웨어 자재명세서(SBOM) 생성이며, 앤트로픽의 모델 컨텍스트 프로토콜(MCP)을 지원하는 AI와 연결할 수 있다는 점이다. AI 코딩이 빨라질수록 보안 검증과 오픈소스 추적이 개발 파이프라인 안으로 더 깊게 들어오는 흐름이다.

security

오픈AI, 오픈소스 취약점 고치는 ‘패치 더 플래닛’ 시작

오픈AI가 트레일 오브 비츠와 함께 주요 오픈소스 프로젝트의 취약점을 AI로 찾고, 사람 검토를 거쳐 실제 패치까지 연결하는 프로그램을 시작했다. 파이썬, 고, cURL, 시그스토어, NATS 서버 같은 핵심 프로젝트가 초기 대상이고, 지금까지 수백 건의 보안 이슈와 수십 건의 병합된 패치가 나왔다. 핵심은 AI가 보안팀을 대체하는 게 아니라, 탐지·검증·패치·공개 조율을 빠르게 만드는 보조 엔진이라는 점이다.

security

오픈AI, 취약점 찾기부터 패치까지 돕는 ‘코덱스 시큐리티’ 공개

오픈AI가 사이버보안 이니셔티브 데이브레이크를 확대하면서 보안 전용 도구 코덱스 시큐리티와 GPT-5.5-사이버를 공개했다. 목표는 취약점 탐지에서 끝나는 게 아니라 검증, 위험도 평가, 패치 개발, 테스트, 배포까지 AI로 지원하는 것이다. cURL, Go, Python, Sigstore 등 30개 이상 오픈소스 프로젝트도 패치 지원 프로그램에 참여한다.