본문으로 건너뛰기
피드

앤트로픽 ‘미토스’, 한 달 만에 고위험 취약점 1만 건을 캐냈다

security 약 6분
vote
0
댓글
북마크

앤트로픽의 보안 특화 인공지능 모델 ‘클로드 미토스 프리뷰’가 프로젝트 글래스윙에서 한 달 만에 주요 소프트웨어의 고위험 취약점 1만 건 이상을 찾아냈다. 오픈소스 프로젝트 1000개 이상을 스캔해 2만3019개 취약점 후보를 발견했고, 외부 검증 대상의 90.6%가 실제 취약점으로 확인됐다. 이제 보안 업계의 병목은 ‘취약점을 찾는 속도’가 아니라 ‘검증하고 패치하는 속도’로 넘어가는 분위기다.

  • 1

    클로드 미토스 프리뷰가 프로젝트 글래스윙에서 한 달 만에 고위험 취약점 1만 건 이상을 발견

  • 2

    오픈소스 프로젝트 1000개 이상에서 취약점 후보 2만3019개, 고위험 또는 치명적 후보 6202개 탐지

  • 3

    외부 검증을 거친 1752개 중 90.6%가 실제 취약점으로 확인

  • 4

    클라우드플레어는 버그 2000개를 찾았고 이 중 400개가 고위험 수준

  • 5

    인공지능이 취약점을 쏟아내면서 검증, 공개, 패치 프로세스가 새로운 병목으로 부상

  • 앤트로픽의 보안 특화 인공지능 모델 ‘클로드 미토스 프리뷰’가 한 달 만에 고위험 취약점 1만 건 이상을 찾아냈음

    • 이 작업은 ‘프로젝트 글래스윙’이라는 글로벌 사이버 보안 협력 프로젝트 안에서 진행됨
    • 목표는 꽤 명확함. 강력한 인공지능 모델이 공격자 손에 들어가기 전에, 방어자들이 먼저 핵심 소프트웨어의 구멍을 찾아 막자는 것
  • 참여 규모도 작지 않음. 약 50개 글로벌 기술 기업과 기관이 자기 시스템을 대규모로 점검 중임

    • 클라우드플레어는 미토스로 버그 2000건을 확인했고, 그중 400건이 고위험 수준이었다고 밝힘
    • 모질라는 파이어폭스 150 버전에서 취약점 271개를 수정했는데, 이전 버전 대비 10배 이상 많은 수치라고 함
    • 팔로알토 네트웍스는 최근 정기 업데이트에 평소보다 5배 많은 패치를 포함했고, 마이크로소프트와 오라클도 앞으로 패치 규모가 계속 커질 거라고 봄

중요

> 숫자가 좀 세다. 오픈소스 프로젝트 1000개 이상을 스캔해 취약점 후보 2만3019개를 찾았고, 이 중 6202개가 고위험 또는 매우 심각한 수준으로 분류됐음.

  • 정확도도 그냥 ‘많이 찾았다’ 수준에서 끝나지 않음

    • 독립 기관이 검증한 1752개 중 90.6%가 실제 취약점으로 확인됨
    • 현재 검증 속도 기준으로는 오픈소스 생태계에서만 추가 고위험 취약점 약 3900개가 더 나올 수 있다고 예상됨
    • 영국 인공지능 보안 연구소는 미토스가 자체 다단계 사이버 공격 시뮬레이션을 처음으로 완전히 해결한 모델이라고 평가함
    • 보안 플랫폼 XBOW도 웹 익스플로잇 벤치마크에서 기존 모델을 압도하는 정확도를 보였다고 밝힘
  • 흥미로운 사례는 전 세계 수십억 대 기기에서 쓰이는 암호화 라이브러리 쪽에서 나왔음

    • 미토스는 공격자가 인증서를 위조해 합법적인 웹사이트처럼 보이는 가짜 사이트를 만들 수 있는 익스플로잇을 생성함
    • 해당 취약점은 이미 패치가 완료됐다고 함
    • 이건 단순한 코드 스타일 문제나 경고가 아니라, 인증서 신뢰 체계 자체를 건드릴 수 있는 꽤 민감한 유형임
  • 이제 보안의 병목이 바뀌고 있음. 예전엔 ‘취약점을 얼마나 빨리 찾느냐’가 문제였는데, 이제는 ‘찾아낸 걸 사람이 얼마나 빨리 처리하느냐’가 문제임

    • 인공지능은 단기간에 수천, 수만 개 취약점 후보를 뽑아낼 수 있음
    • 하지만 실제로는 검증, 영향도 판단, 패치 작성, 배포, 공개 조율까지 사람이 해야 할 일이 줄줄이 붙음
    • 그래서 기업 입장에서는 취약점 탐지 도구만 도입한다고 끝이 아니라, 패치 운영 프로세스까지 같이 갈아엎어야 하는 상황임

⚠️주의

> 미토스급 모델이 방어자에게만 있으면 든든하지만, 공격자에게도 비슷한 능력이 생기면 취약점 탐색 비용이 확 내려감. 패치가 늦은 조직은 그대로 표적이 되기 쉬움.

  • 개발자와 운영팀 입장에서는 꽤 현실적인 압박으로 이어질 가능성이 큼

    • 정기 패치 주기가 길거나, 배포 검증이 느리거나, 오래된 오픈소스 의존성을 방치하는 조직은 위험 노출 시간이 길어짐
    • 보안팀만의 문제가 아니라 백엔드, 인프라, 플랫폼, 데브옵스 팀까지 패치 흐름을 같이 봐야 하는 이슈임
    • 특히 한국 기업처럼 레거시 시스템과 외부 솔루션 의존도가 높은 환경에서는 ‘취약점은 찾았는데 못 고치는’ 상황이 더 자주 나올 수 있음
  • 결론적으로 이 뉴스의 핵심은 ‘인공지능이 보안도 잘한다’가 아님

    • 더 정확히는 취약점 발견이 자동화되면서 소프트웨어 공급망 전체의 속도 기준이 바뀌고 있다는 얘기임
    • 앞으로는 취약점을 잘 찾는 조직보다, 취약점이 쏟아질 때 우선순위를 잡고 빠르게 패치하는 조직이 더 강해질 가능성이 큼

기술 맥락

  • 이번 선택의 핵심은 클로드 미토스 프리뷰를 일반 공개 서비스가 아니라 제한된 방어 프로젝트에 먼저 투입했다는 점이에요. 취약점 탐지 능력이 너무 강하면 방어에도 좋지만 공격 자동화에도 바로 쓰일 수 있거든요.

  • 프로젝트 글래스윙이 약 50개 기업과 기관을 묶은 이유도 여기에 있어요. 인터넷 핵심 인프라와 널리 쓰이는 오픈소스부터 먼저 훑어야, 같은 모델이 악용됐을 때 생길 피해를 줄일 수 있기 때문이에요.

  • 기술적으로 어려운 지점은 탐지 자체보다 후속 처리예요. 모델이 취약점 후보를 2만3019개나 뽑아내면, 사람은 그중 진짜 취약점인지 확인하고 위험도를 매기고 패치 순서를 정해야 해요.

  • 외부 검증에서 90.6%가 실제 취약점으로 확인된 건 꽤 큰 의미가 있어요. 보안팀 입장에서는 오탐이 너무 많으면 도구를 못 믿게 되는데, 이 정도면 ‘참고용 알림’이 아니라 실제 패치 파이프라인에 넣을 만한 신호가 되거든요.

  • 그래서 개발 조직이 봐야 할 포인트는 모델 성능보다 운영 체계예요. 의존성 목록, 패치 테스트, 긴급 배포, 로그 기반 탐지 같은 기본기가 느리면 인공지능이 취약점을 빨리 찾아도 실제 위험은 줄지 않아요.

보안 인공지능이 좋아졌다는 얘기에서 끝나는 뉴스가 아니다. 취약점 발견 비용이 급격히 내려가면 방어팀도 빨라지지만, 공격자도 같은 속도를 얻을 수 있어서 패치 운영 역량 자체가 경쟁력이 된다.

댓글

댓글

댓글을 불러오는 중...

security

엘에이 경찰, 사생활 침해 논란 끝에 플록 번호판 감시 계약 종료

엘에이 경찰이 번호판 인식 카메라 업체 플록 세이프티와의 3년 계약을 연장하지 않기로 했어. 시민권, 프라이버시, 데이터 보관과 공유 문제를 해결하지 못했다는 게 핵심 이유야. 플록은 미국 전역에 최소 8만 대 카메라망을 깔아 경찰과 연방기관이 차량을 추적할 수 있게 해왔고, 오탐·보안 사고·이민 단속 악용 의혹까지 겹치며 압박이 커졌어.

security

크로미움 148부터 Math.tanh 한 번으로 운영체제 지문이 새는 문제

크로미움 148 이후 V8이 Math.tanh 계산을 자체 구현 대신 운영체제의 수학 라이브러리에 맡기면서, 같은 입력값도 리눅스·맥·윈도우에서 마지막 비트가 달라지는 지문 신호가 생겼다. 이 차이는 User-Agent로 맥이라고 주장하면서 리눅스 수학 결과를 내는 식의 위장을 바로 들키게 만든다. CSS 삼각함수와 웹 오디오까지 보면 브라우저 수학 경로가 꽤 복잡하게 갈라지고, 제대로 흉내 내려면 실제 운영체제 라이브러리의 비트 단위 동작까지 맞춰야 한다.

security

출입통제도 클라우드 구독제로 간다…제로트러스트·AI 분석이 승부처

기업 출입보안이 사업장별 서버를 두는 방식에서 클라우드 기반 서비스형 출입통제(ACaaS)로 옮겨가고 있다. 시장은 2026년 17억8000만 달러에서 2030년 31억9000만 달러로 커질 전망이고, 제로트러스트·모바일 인증·AI 출입 분석·스마트빌딩 통합이 핵심 경쟁 포인트로 꼽힌다.

security

AWS·구글 클라우드, 양자컴퓨터 대비해 암호 체계 갈아엎는 중

AWS와 구글 클라우드가 양자컴퓨터 시대를 대비해 기존 공개키 암호와 양자내성암호를 함께 쓰는 하이브리드 전환을 시작했다. 핵심 배경은 지금 훔친 암호문을 나중에 양자컴퓨터로 푸는 ‘선수집·후해독’ 공격이고, 국내도 통신·금융·국방 등 5개 분야에 45억원을 투입해 실증에 들어간다.

security

보안 점검 맡긴 AI 에이전트가 악성코드를 직접 실행할 수 있다는 경고

AI 보안 에이전트가 저장소를 검사하다가 README 같은 문서에 숨은 프롬프트 인젝션에 속아 악성 바이너리를 실행할 수 있다는 연구가 나왔다. 클로드 코드와 코덱스의 자동 모드처럼 승인 없이 명령을 수행하는 구성에서 문제가 재현됐고, 여러 모델과 공급업체를 가로질러 같은 패턴이 통했다는 점이 핵심이다.