--- title: "앤트로픽 ‘미토스’, 한 달 만에 고위험 취약점 1만 건을 캐냈다" published: 2026-05-25T07:05:03.492Z canonical: https://jeff.news/article/3195 --- # 앤트로픽 ‘미토스’, 한 달 만에 고위험 취약점 1만 건을 캐냈다 앤트로픽의 보안 특화 인공지능 모델 ‘클로드 미토스 프리뷰’가 프로젝트 글래스윙에서 한 달 만에 주요 소프트웨어의 고위험 취약점 1만 건 이상을 찾아냈다. 오픈소스 프로젝트 1000개 이상을 스캔해 2만3019개 취약점 후보를 발견했고, 외부 검증 대상의 90.6%가 실제 취약점으로 확인됐다. 이제 보안 업계의 병목은 ‘취약점을 찾는 속도’가 아니라 ‘검증하고 패치하는 속도’로 넘어가는 분위기다. - 앤트로픽의 보안 특화 인공지능 모델 ‘클로드 미토스 프리뷰’가 한 달 만에 고위험 취약점 1만 건 이상을 찾아냈음 - 이 작업은 ‘프로젝트 글래스윙’이라는 글로벌 사이버 보안 협력 프로젝트 안에서 진행됨 - 목표는 꽤 명확함. 강력한 인공지능 모델이 공격자 손에 들어가기 전에, 방어자들이 먼저 핵심 소프트웨어의 구멍을 찾아 막자는 것 - 참여 규모도 작지 않음. 약 50개 글로벌 기술 기업과 기관이 자기 시스템을 대규모로 점검 중임 - 클라우드플레어는 미토스로 버그 2000건을 확인했고, 그중 400건이 고위험 수준이었다고 밝힘 - 모질라는 파이어폭스 150 버전에서 취약점 271개를 수정했는데, 이전 버전 대비 10배 이상 많은 수치라고 함 - 팔로알토 네트웍스는 최근 정기 업데이트에 평소보다 5배 많은 패치를 포함했고, 마이크로소프트와 오라클도 앞으로 패치 규모가 계속 커질 거라고 봄 > [!IMPORTANT] > 숫자가 좀 세다. 오픈소스 프로젝트 1000개 이상을 스캔해 취약점 후보 2만3019개를 찾았고, 이 중 6202개가 고위험 또는 매우 심각한 수준으로 분류됐음. - 정확도도 그냥 ‘많이 찾았다’ 수준에서 끝나지 않음 - 독립 기관이 검증한 1752개 중 90.6%가 실제 취약점으로 확인됨 - 현재 검증 속도 기준으로는 오픈소스 생태계에서만 추가 고위험 취약점 약 3900개가 더 나올 수 있다고 예상됨 - 영국 인공지능 보안 연구소는 미토스가 자체 다단계 사이버 공격 시뮬레이션을 처음으로 완전히 해결한 모델이라고 평가함 - 보안 플랫폼 XBOW도 웹 익스플로잇 벤치마크에서 기존 모델을 압도하는 정확도를 보였다고 밝힘 - 흥미로운 사례는 전 세계 수십억 대 기기에서 쓰이는 암호화 라이브러리 쪽에서 나왔음 - 미토스는 공격자가 인증서를 위조해 합법적인 웹사이트처럼 보이는 가짜 사이트를 만들 수 있는 익스플로잇을 생성함 - 해당 취약점은 이미 패치가 완료됐다고 함 - 이건 단순한 코드 스타일 문제나 경고가 아니라, 인증서 신뢰 체계 자체를 건드릴 수 있는 꽤 민감한 유형임 - 이제 보안의 병목이 바뀌고 있음. 예전엔 ‘취약점을 얼마나 빨리 찾느냐’가 문제였는데, 이제는 ‘찾아낸 걸 사람이 얼마나 빨리 처리하느냐’가 문제임 - 인공지능은 단기간에 수천, 수만 개 취약점 후보를 뽑아낼 수 있음 - 하지만 실제로는 검증, 영향도 판단, 패치 작성, 배포, 공개 조율까지 사람이 해야 할 일이 줄줄이 붙음 - 그래서 기업 입장에서는 취약점 탐지 도구만 도입한다고 끝이 아니라, 패치 운영 프로세스까지 같이 갈아엎어야 하는 상황임 > [!WARNING] > 미토스급 모델이 방어자에게만 있으면 든든하지만, 공격자에게도 비슷한 능력이 생기면 취약점 탐색 비용이 확 내려감. 패치가 늦은 조직은 그대로 표적이 되기 쉬움. - 개발자와 운영팀 입장에서는 꽤 현실적인 압박으로 이어질 가능성이 큼 - 정기 패치 주기가 길거나, 배포 검증이 느리거나, 오래된 오픈소스 의존성을 방치하는 조직은 위험 노출 시간이 길어짐 - 보안팀만의 문제가 아니라 백엔드, 인프라, 플랫폼, 데브옵스 팀까지 패치 흐름을 같이 봐야 하는 이슈임 - 특히 한국 기업처럼 레거시 시스템과 외부 솔루션 의존도가 높은 환경에서는 ‘취약점은 찾았는데 못 고치는’ 상황이 더 자주 나올 수 있음 - 결론적으로 이 뉴스의 핵심은 ‘인공지능이 보안도 잘한다’가 아님 - 더 정확히는 취약점 발견이 자동화되면서 소프트웨어 공급망 전체의 속도 기준이 바뀌고 있다는 얘기임 - 앞으로는 취약점을 잘 찾는 조직보다, 취약점이 쏟아질 때 우선순위를 잡고 빠르게 패치하는 조직이 더 강해질 가능성이 큼 --- ## 기술 맥락 - 이번 선택의 핵심은 클로드 미토스 프리뷰를 일반 공개 서비스가 아니라 제한된 방어 프로젝트에 먼저 투입했다는 점이에요. 취약점 탐지 능력이 너무 강하면 방어에도 좋지만 공격 자동화에도 바로 쓰일 수 있거든요. - 프로젝트 글래스윙이 약 50개 기업과 기관을 묶은 이유도 여기에 있어요. 인터넷 핵심 인프라와 널리 쓰이는 오픈소스부터 먼저 훑어야, 같은 모델이 악용됐을 때 생길 피해를 줄일 수 있기 때문이에요. - 기술적으로 어려운 지점은 탐지 자체보다 후속 처리예요. 모델이 취약점 후보를 2만3019개나 뽑아내면, 사람은 그중 진짜 취약점인지 확인하고 위험도를 매기고 패치 순서를 정해야 해요. - 외부 검증에서 90.6%가 실제 취약점으로 확인된 건 꽤 큰 의미가 있어요. 보안팀 입장에서는 오탐이 너무 많으면 도구를 못 믿게 되는데, 이 정도면 ‘참고용 알림’이 아니라 실제 패치 파이프라인에 넣을 만한 신호가 되거든요. - 그래서 개발 조직이 봐야 할 포인트는 모델 성능보다 운영 체계예요. 의존성 목록, 패치 테스트, 긴급 배포, 로그 기반 탐지 같은 기본기가 느리면 인공지능이 취약점을 빨리 찾아도 실제 위험은 줄지 않아요. ## 핵심 포인트 - 클로드 미토스 프리뷰가 프로젝트 글래스윙에서 한 달 만에 고위험 취약점 1만 건 이상을 발견 - 오픈소스 프로젝트 1000개 이상에서 취약점 후보 2만3019개, 고위험 또는 치명적 후보 6202개 탐지 - 외부 검증을 거친 1752개 중 90.6%가 실제 취약점으로 확인 - 클라우드플레어는 버그 2000개를 찾았고 이 중 400개가 고위험 수준 - 인공지능이 취약점을 쏟아내면서 검증, 공개, 패치 프로세스가 새로운 병목으로 부상 ## 인사이트 보안 인공지능이 좋아졌다는 얘기에서 끝나는 뉴스가 아니다. 취약점 발견 비용이 급격히 내려가면 방어팀도 빨라지지만, 공격자도 같은 속도를 얻을 수 있어서 패치 운영 역량 자체가 경쟁력이 된다.