Project Glasswing 1달 성과: Claude Mythos가 발견한 10,000개 취약점의 의미

핵심 요약

Anthropicが 2026년 4월 출범시킨 Project Glasswing이 첫 1달 성과를 5월 22일 공개했다. Anthropic의 비공개 AI 모델 Claude Mythos Preview가 약 50개 파트너 조직과 함께 전 세계에서 가장 널리 사용되는 소프트웨어에서 10,000개가 넘는 고위험·치명적 취약점을 발견했다는 내용이다.

이 수치는 소프트웨어 보안 업계에서 전례가 없는 규모다. 인간 보안 연구자들이 수년에 걸쳐 탐지하던 취약점을 AI가 단 한 달 만에 발견했다는 점에서 보안 패러다임의 근본적인 변화를 시사한다.

Project Glasswing이란

Project Glasswing은 AI 기술을 활용해 전 세계 핵심 소프트웨어 인프라를 방어적으로 보호하기 위해 Anthropic이 2026년 4월 출범한 이니셔티브다. AWS, Apple, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks 등 12개 주요 조직이 창립 파트너로 참여했으며, 이후 40개 이상의 추가 조직이 합류했다.

핵심은 Anthropic의 미공개 프론티어 모델인 Claude Mythos Preview를 제한적으로 제공하는 방식이다. Anthropic은 이 이니셔티브를 위해 1억 달러 규모의 사용 크레딧을 지원하고 있으며, 오픈소스 보안 재단인 Alpha-Omega와 OpenSSF에 250만 달러, Apache Software Foundation에 150만 달러를 추가 기부했다.

첫 1달 성과의 구체적 수치

Glasswing이 공개한 첫 달 보고서에 따르면 Claude Mythos Preview는 다음과 같은 성과를 달성했다.

1,000개 이상의 오픈소스 프로젝트를 분석하여 총 23,019개의 잠재적 취약점을 식별했다. 이 중 6,202개가 고위험 또는 치명적 등급으로 분류됐다. 외부 검증을 거친 1,752개 중 90.6%인 1,588개가 실제 취약점으로 확인됐으며, 이 중 1,094개가 고위험·치명적 등급이었다.

파트너사별 성과도 인상적이다. Cloudflare는 자사 핵심 시스템에서 2,000개의 취약점을 발견했으며 이 중 400개가 고위험·치명적 등급이었다. Mozilla는 Firefox 150에서 271개의 취약점을 발견해 수정했는데, 이는 이전 Claude 모델을 활용했을 때 대비 약 10배에 달하는 수치다.

Claude Mythos의 성능

왜 Mythos가 이처럼 탁월한 성과를 낼 수 있는지 이해하려면 모델의 기술적 역량을 살펴봐야 한다. Anthropic에 따르면 Mythos Preview는 CyberGym의 취약점 재현 태스크에서 83.1%의 성공률을 기록했다. 이는 현재 공개된 Claude Opus 4.6의 66.6%를 크게 웃도는 수치다.

SWE-bench 코딩 벤치마크에서도 93.9%라는 업계 최고 수준의 점수를 기록했다. 단순히 취약점을 찾는 것을 넘어 실제 익스플로잇까지 자동으로 개발할 수 있는 능력을 갖추고 있어 보안 연구에서 특히 강점을 보인다.

Mythos가 발견한 주목할 만한 취약점 사례로는 27년간 알려지지 않았던 OpenBSD의 원격 충돌 유발 취약점, 500만 번의 자동화 테스트에서도 발견되지 않았던 16년 된 FFmpeg 취약점, wolfSSL(CVSS 9.1)의 인증서 위조 가능 치명적 취약점 등이 있다.

새로운 병목 현상: 패치 속도

Project Glasswing이 밝힌 가장 중요한 통찰 중 하나는 보안 업계의 병목 현상이 근본적으로 바뀌었다는 점이다. Anthropic의 표현을 빌리면 "소프트웨어 보안의 진전은 과거에는 새로운 취약점을 얼마나 빨리 발견하느냐에 달려 있었다. 이제는 발견된 취약점을 얼마나 빨리 검증하고 공개하고 패치하느냐의 문제가 됐다."

AI가 취약점을 발견하는 속도가 인간이 검토하고 패치를 배포하는 속도를 훨씬 앞지르기 시작했다. 일부 오픈소스 프로젝트 유지보수자들은 Anthropic에 취약점 공개 속도를 늦춰달라고 요청할 정도다. 유지보수자들이 검토하고 패치를 개발할 시간이 부족하다는 이유에서다.

이는 기술적 혁신이 의도치 않게 생태계에 과부하를 줄 수 있다는 중요한 교훈을 남긴다.

Mythos 공개 출시 전망

Claude Mythos Preview는 현재 일반에 공개되지 않는다. Anthropic은 "현재로서는 Anthropic을 포함한 어떤 기업도 이런 모델이 악용되는 것을 막기에 충분한 안전장치를 개발하지 못했다"고 밝히고 있다.

API 가격은 입력 토큰 100만 개당 25달러, 출력 토큰 100만 개당 125달러로 설정돼 있어 현재 Claude Opus 4.7의 약 3배 수준이다. 충분한 안전장치가 마련되는 시점에 일반 공개를 계획하고 있으며, 이 역량은 향후 Claude Opus 시리즈에 순차적으로 통합될 예정이다.

결론

Project Glasswing의 첫 달 성과는 AI 기반 사이버 보안의 가능성과 한계를 동시에 보여준다. 한 달 만에 10,000개 이상의 치명적 취약점을 발견했다는 것은 AI가 소프트웨어 보안 분야를 근본적으로 변화시킬 수 있다는 증거다.

그러나 기술이 앞서 나가는 만큼 인간의 검증·패치 역량도 함께 성장해야 한다는 현실적인 과제도 드러났다. Project Glasswing은 AI를 활용한 방어적 보안 협력의 새로운 모델을 제시하고 있으며, 이 경험은 Mythos의 공개 출시와 AI 보안 정책 수립에 중요한 데이터가 될 것이다.