앤트로픽의 AI 모델 **미토스(Mithos)**가 ‘AI 보안 프로젝트 글래스윙(Glasswing)‘을 통해 단 한 달 만에 주요 소프트웨어에서 취약점 1만 건 이상을 발견했다. 발견 속도는 기존 방식 대비 10배 이상 빠르다.
한 달 만에 어디서 뭘 찾았나
클라우드플레어에서는 핵심 시스템 전반에 걸쳐 약 2,000건의 버그를 탐지했다. 이 중 400건은 고위험 또는 치명적 수준으로 분류됐다. 인프라의 근간에 해당하는 시스템에서 이 정도 규모의 위험 취약점이 한꺼번에 나온 것은 이례적이다.
모질라 파이어폭스 신버전 보안 점검에서는 271건의 취약점이 발견됐다. 기존 보안 점검 모델 대비 10배 이상 많은 수치다.
단순히 빠른 게 아니다
미토스는 영국 AI안전연구소의 가상 해킹 능력 평가에서 처음으로 공격 절차 전 과정을 끝까지 완수했다. 기존 모델들이 중간에 멈추거나 우회하던 단계들을 통과한 것이다. 보안 플랫폼 엑스보우(Xbow)의 웹 취약점 공격 성능 평가에서도 최우수 평가를 받았다.
취약점을 찾는 것을 넘어, 실제 공격 시나리오를 이해하고 실행할 수 있는 수준에 도달했다는 의미다.
보안의 병목이 바뀌고 있다
앤트로픽은 이번 결과에서 중요한 진단을 내놓았다.
“취약점 발견 뒤 실제 보완 조치가 이뤄지기까지 시간이 길어질수록 공격자에게 더 많은 기회가 생긴다”
AI가 취약점을 빠르게 찾아내는 시대가 되면서, 보안의 병목이 ‘발견’에서 ‘대응 속도’로 이동하고 있다는 분석이다. 취약점을 몰라서 당하는 게 아니라, 알고도 못 막아서 당하는 구조가 된다는 것이다.
기업과 개발자들이 패치 주기를 단축하고 신속한 보안 업데이트 체계를 갖추는 것이 다음 과제로 떠오른다.
방어와 공격 사이
이번 성과는 양날의 검이기도 하다. AI가 취약점을 1만 건 찾아낸다는 것은, 방어자가 그 속도로 패치할 수 있다면 강력한 도구가 된다. 하지만 같은 능력이 공격자 손에 들어가면 이야기가 달라진다.
지난주 미국 정부가 프론티어 AI 모델의 출시 전 사이버 역량 사전 검토를 추진하겠다고 밝힌 것도 같은 맥락이다. 미토스의 이번 결과는 그 우려가 근거 없지 않음을 보여준다.