안트로피크, 클라우드 마이토스를 15개국의 중요 인프라에 확장

Anthropic의 Project Glasswing은 Claude를 보안 취약점 탐지·대응에 특화시킨 프로그램으로, 대규모 언어 모델의 코드 분석 능력과 에이전트형(agentic) 워크플로우를 결합한 형태로 동작합니다. 핵심 기술인 Mythos는 단순히 코드 스니펫을 한 번 훑어보는 정적 분석을 넘어, 소스 코드·설정 파일·로그·네트워크 토폴로지를 함께 입력받아 잠재적 공격 경로를 추론하고, 발견한 취약점을 실제로 익스플로잇 가능한지 단계적으로 검증한 뒤 패치 후보까지 생성하는 방식으로 추정됩니다. 전력·수도·의료·통신처럼 OT(운영 기술)와 레거시 시스템이 뒤섞인 환경에서는 CVE 스캐너만으로는 잡히지 않는 비즈니스 로직 결함이나 권한 경계 오류가 많은데, LLM 기반 추론은 이런 맥락 의존적 취약점을 사람보다 빠르게 후보군으로 좁혀준다는 점에서 의미가 있습니다.

엔지니어 관점에서 이 확장(15개국 150개 조직)이 시사하는 바는, 보안이 "출시 후 점검"이 아니라 개발 파이프라인에 상시 탑재되는 단계로 넘어가고 있다는 것입니다. 특히 단일 사이버 공격이 1억 명 규모에 영향을 줄 수 있는 임계 인프라를 명시적으로 겨냥했다는 점은, 가용성·안전(safety)과 직결된 시스템을 다루는 개발자에게 모델 기반 취약점 분석이 사실상 표준 도구가 될 가능성을 보여줍니다. 실무적으로는 PR 단계에서 AI가 취약점을 리포트하고 패치를 제안하는 흐름이 늘어날 것이고, 이는 SAST/DAST 도구를 보완하거나 일부 대체하면서 보안 리뷰의 속도와 커버리지를 동시에 끌어올릴 수 있습니다. 반대로 AI가 생성한 "익스플로잇 가능 여부" 판단을 맹신할 경우 오탐(false positive)에 휘둘리거나, 더 위험하게는 미탐(false negative)을 안전하다고 오해할 위험도 함께 커집니다.

따라서 한국 개발자들이 지금 취해야 할 액션은 분명합니다. 첫째, AI 보안 도구의 결과를 게이트가 아닌 입력으로 다루고, 모델이 제시한 패치는 반드시 사람이 리뷰·테스트한 뒤 머지하는 프로세스를 명문화해야 합니다. 둘째, 임계 인프라나 민감 데이터를 다룬다면 코드·설정·로그를 외부 모델에 보내는 과정에서 발생할 수 있는 데이터 노출·규제(개인정보보호법, 망분리 요건 등) 문제를 사전에 검토하고, 온프레미스/프라이빗 배포나 민감정보 마스킹 같은 옵션을 따져봐야 합니다. 셋째, 이런 도구가 "취약점을 찾는" 능력은 곧 "취약점을 노리는" 능력이기도 하므로, 공격 표면 축소·최소 권한·세분화된 로깅 같은 기본기를 더 단단히 다져 두는 것이 결국 가장 확실한 방어책입니다. AI 보안 자동화는 보안 엔지니어를 대체하기보다, 검증과 의사결정을 담당하는 사람의 판단력을 더 중요하게 만드는 방향으로 작동할 가능성이 높습니다.