프로젝트 Glasswing이 사이버 보안을 운영하는 사람들에게 주는 의미

수석 영업 엔지니어

4월 30, 2026

23 분 읽기

몇 주 전에 Anthropic의 프로젝트 Glasswing이 출시되었는데, 헤드라인을 보셨을 겁니다.

마이크로소프트, 애플, 아마존, 구글, 크라우드스트라이크, 팔로알토 네트웍스 등 기술 및 사이버 리더를 포함한 12개 파트너가 방어적 보안 목적으로 클로드의 Mythos Preview AI 모델을 사용하는 데 동의했습니다. 앤트로픽은 이러한 노력을 위해 1억 달러의 사용 크레딧을 기부했습니다.

Mythos Preview는 이미 모든 주요 운영 체제 및 웹 브라우저의 결함을 포함하여 심각도가 높은 제로데이 취약점 수천 개를 발견했습니다. 전체 보안 연구 커뮤니티가 수십 년 동안 놓쳤던 취약점을 몇 주 만에 발견했습니다.

일루미오의 CEO이자 설립자인 앤드류 루빈은 최근 블로그 게시물에서 점진적인 변화가 아니라고 명확히 밝혔습니다. 공격자는 기계의 속도로 움직이는데 방어자는 사람의 속도로 계속 움직이면 게임은 끝납니다.

경계에서 위협을 차단하려는 기존의 모델은 끝났고, 완벽한 예방은 항상 꿈에 불과했으며, 지금은 더욱 그러하며, 사이버 보안의 핵심 임무로 회복탄력성이 예방을 대체해야 합니다.

앤트로픽의 발표는 매우 중요한 사안이며, 앞으로 어떻게 될지 말씀드리고자 합니다. 특히 이 프로젝트의 파트너 목록에 없는 조직에서 IT 및 사이버 보안을 운영하는 사람들에게는 어떤 의미가 있는지 살펴보고자 합니다.

CVE 홍수가 다가옵니다

Mythos가 보여주는 기능에 대해 구체적으로 살펴봅시다.

Mythos Preview는 매일 수십억 명의 사람들이 사용하는 운영 체제, 브라우저, 오픈 소스 라이브러리 등 기존 프로덕션 소프트웨어를 검사합니다.

자율적으로 취약점을 찾아내고, 작동하는 익스플로잇을 작성하며, 여러 결함을 전체 공격 시퀀스로 연결합니다. 그리고 첫 시도에서 83%의 성공률(% )로 이 작업을 수행합니다.

현재 이 기능은 통제된 릴리스 뒤에 있습니다. 약 40개 조직이 액세스 권한을 가지고 있으며, 방어적 사용 및 조정된 공개에 대한 엄격한 규칙이 적용됩니다.

앤트로픽은 취약점을 공개하기 전에 먼저 관리자에게 보고하여 패치할 시간을 줍니다. 수정 사항이 배포된 후에만 기술적 세부 사항을 게시합니다.

하지만 앤트로픽은 발표문에서 다음과 같이 인정했습니다: "전 세계의 사이버 인프라를 방어하는 작업은 수년이 걸릴 수 있습니다. 앞으로 몇 달 동안 프론티어 AI 기능은 크게 발전할 것입니다."

이러한 기능이 확산될 것입니다. 앤트로픽이 만들었다면 다른 사람들도 만들 것입니다. 제어된 릴리스는 시간을 벌 수 있지만, 이 릴리스의 방향은 바뀌지 않습니다.

우리는 현존하는 모든 소프트웨어에서 기계의 속도로 지속적으로 취약점 발견이 이루어지는 세상을 향해 나아가고 있습니다.

그리고 CVE 생태계는 이미 압박을 받고 있습니다. 최근 90일 동안 GitHub의 취약점 보고가 224건(% ) 증가했습니다. 유지 관리자는 익사하고 있으며, 이는 Mythos의 발견이 공개 파이프라인을 통해 대량으로 흐르기 시작하기 전의 일입니다.

이는 CISO, IT 책임자 및 보안 팀에게 어떤 의미가 있을까요?

화요일 아침에 자신의 환경에서 실행 중인 소프트웨어에 대해 40개의 새로운 중요 CVE가 발견되었다는 알림을 받는 사람의 관점에서 생각해 보면 도움이 됩니다.

패치 적용은 이미 대규모로 불가능했습니다. 이제는 환상입니다.

패치 적용의 문제는 패치 자체에 있는 것이 아닙니다. 종속성 체인, 회귀 테스트 및 변경 승인 창이 바로 그것입니다. 중요한 프로덕션 시스템을 업데이트한 후에도 계속 작동한다는 보장 없이 업데이트만 해서는 안 됩니다.

평균적으로 기업에서는 중요한 취약점을 수정하는 데 60~150일이 걸립니다. Mythos급 AI 모델이 소프트웨어 스택 전체에서 매주 수백 건의 중대한 CVE를 생성하는 경우, 그 수치는 단순히 깨지는 것이 아니라 터무니없는 수치가 됩니다.

취약성 관리 프로그램은 방금 분류 작업이 되었습니다.

모든 보안 팀에는 이미 패치되지 않은 수천 개의 취약점 백로그가 있습니다. 그 백로그는 곧 배가될 것입니다.

더 이상 "중요한 모든 것을 패치할 수 있을까?"라는 질문이 아닙니다. 하지만 "이 중 어떤 2% 가 실제로 우리의 특정 환경에서 중요한지 알아낼 수 있을까?"라는 질문이 있습니다.

스캐너와 노출 관리 도구는 취약점을 찾는 것뿐만 아니라 우선순위를 정하는 데도 그 어느 때보다 중요해졌습니다. 보안팀은 500개의 새로운 CVE 중 공격자가 네트워크에서 악용할 수 있는 경로에 실제로 어떤 것이 있는지 파악해야 합니다.

익스플로잇 소요 시간은 더욱 단축될 것입니다.

이미 공격자들의 익스플로잇 시간이 단축되는 것을 목격하고 있습니다.

최근 연구에 따르면, 2025년 상반기에 악용된 CVE 중 32개(% )가 공개일 또는 그 이전에 익스플로잇 활동을 보인 것으로 나타났습니다. 취약점 익스플로잇이 피싱을 제치고 가장 많이 사용되는 초기 액세스 벡터로 부상했습니다.

이제 약 1달러로 10~15분 안에 작업 익스플로잇을 생성할 수 있는 AI 모델을 추가하세요. '취약점 공개'와 '야생에서의 익스플로잇' 사이의 간격이 0에 가까워지고 있습니다.

90일 패치 주기는 더 이상 계획이 아니라 책임입니다.

Mythos가 소프트웨어 구축 방식을 바꿀까요?

현재 Glasswing의 참가자들은 기존 프로덕션 소프트웨어를 스캔하는 데 Mythos를 사용하고 있습니다. 소프트웨어 개발 수명 주기(SDLC)에 포함되지 않습니다.

하지만 앞으로도 계속 그럴 것이라고 생각하는 것은 순진한 생각입니다. 이 정도 규모의 프로덕션 코드에서 제로데이 익스플로잇을 찾을 수 있는 모델을 확보했다면, 다음 단계는 코드가 배포되기 전에 개발 중 CI/CD 파이프라인에서 이를 실행하는 것입니다.

이것이 가장 낙관적인 시나리오입니다. Mythos급 스캔이 SDLC의 일부가 되면 소프트웨어가 프로덕션에 도달하기 전에 보안이 더욱 강화됩니다. 이는 공급업체가 취약점을 더 적게 제공한다는 것을 의미하며, 결국 넘쳐나는 CVE는 안정화됩니다.

하지만 이러한 전환에는 몇 년이 걸릴 것입니다. 모든 주요 소프트웨어 공급업체는 이 기능을 통합하고, 개발 프로세스를 재조정하고, 모델에서 발견된 문제를 수정한 후 출시해야 합니다.

그 사이 우리는 그 틈새에서 살고 있습니다. AI는 공급업체나 고객 등 누구보다 빠르게 취약점을 찾아내어 수정할 수 있습니다.

세분화에 기반한 침해 차단이 해답인 이유

기계 속도로 패치를 할 수 없는 경우(실제로는 불가능합니다) 익스플로잇이 도착하기 전에 이미 마련되어 있는 제어 기능이 필요합니다. 바로 이 지점에서 침해 해결에서 침해 차단으로 논의의 초점을 옮겨야 합니다.

세분화가 있으면 좋은 기능이 아닌 기본 제어가 됩니다.

공격자가 취약점 공개 후 몇 시간 내에 취약점을 무기화할 수 있는 경우, 피해를 제한하는 유일한 요소는 초기 침해 이후 공격자가 측면으로 이동할 수 있는지 여부입니다.

일루미오 세분화와 같은 도구를 사용한 실시간 강제 마이크로세그멘테이션은 어떤 특정 취약점이 익스플로잇되었는지에 관계없이 폭발 반경을 제한합니다. 취약성에 구애받지 않습니다.

취약점의 양이 개별적으로 추적할 수 있는 능력을 초과할 때 필요한 것이 바로 이 기능입니다.

질문은 "무엇이 취약한가?"에서 "무엇이 도달 가능한가?"로 바뀝니다.

측면 이동 경로가 없는 고립된 시스템에서 중요한 제로데이는 우선순위가 낮습니다.

하지만 경계와 중요 자산 사이의 최단 경로에 있는 시스템에서 중간 정도의 심각도를 가진 결함이 발견된다면? 정말 긴급한 상황입니다.

팀은 취약점이 어디에 있는지뿐만 아니라 공격자가 환경을 통해 어떻게 측면으로 이동할 수 있는지 이해해야 합니다. 일루미오 인사이트와 같은 솔루션은 가장 중요한 곳에 우선순위를 두고 격리할 수 있도록 지원합니다.

ID 및 액세스 제어를 통한 효과

세분화는 공격자가 네트워크를 통해 이동하는 것을 제한합니다. 강력한 ID 제어는 세그먼트 내에서도 공격자가 할 수 있는 일을 제한합니다. 이를 통해 최소 권한 액세스, 적시 자격 증명, 지속적인 인증이 가능합니다.

공격자가 얼마나 빨리 침입했는지에 관계없이 차단 계층을 추가할 때마다 공격자의 작업이 더 어려워집니다.

다음에 해야 할 5가지 일

그렇다면 실제로 무엇을 할 수 있을까요? 여기서부터 시작하세요.

보안 프로젝트가 아닌 비즈니스 복원력을 위한 결정으로 진행하세요. 세분화는 스트레스를 받는 비즈니스 운영 방식과 직결되는 지속적인 규율입니다. 경영진 수준에서 대화의 틀을 짜는 것부터 시작하세요. 내일 인증정보가 유출되는 경우 공격자가 실제로 중요한 시스템에 도달하지 못하도록 막는 방법은 무엇인가요? 그 답이 명확하지 않다면 정량화할 수 없는 운영 리스크를 안고 있는 것입니다. 정책을 적용하고, 테스트하고, 시간이 지남에 따라 확장하세요. 목표는 지속적으로 줄어드는 측면 이동 경로 세트입니다. ‍
보호 표면을 정의합니다. 도메인 컨트롤러, 결제 시스템, 환자 데이터, OT 환경 등 손상 시 정말 치명적인 결과를 초래할 수 있는 워크로드를 식별합니다. 모든 결정은 공격자가 이러한 자산에 도달하기 위해 취할 수 있는 경로를 줄일 수있는가라는 한 가지 질문으로 귀결되어야 합니다↪f_200D↩. ‍
공격자의 이동 경로를 매핑하여 위험을 식별하세요. 취약한 부분뿐만 아니라 접근 가능한 부분도 파악해야 합니다. 잠재적 거점에서 중요 자산까지 존재하는 경로를 매핑하세요. 명시적으로 정의하지 않은 모든 암묵적 신뢰 관계는 공격자가 사용할 수 있는 경로입니다. ↪cf_200D↩ ‍
먼저 코어를 분할하여 측면 이동을 방지하세요. 영향력이 가장 큰 곳에서 시작하세요. 가장 중요한 시스템을 중심으로 세분화 정책을 적용하고 실제 트래픽에 대해 검증한 다음, 이를 적용하고 외부로 확장하세요. 이 값은 경로를 더 많이 제거할수록증가합니다‍. ‍
봉쇄를 중심으로 대응 모델을 구축하세요. 공격자가 침입한다고 가정합니다. 대응 계획은 영향을 받는 시스템을 얼마나 빨리 격리하고, 확산을 제한하며, 운영을 유지할 수 있는지에 초점을 맞춰야 합니다. 봉쇄는 마지막 단계가 아닙니다. 결과를 결정하는 것은 통제력입니다.