Anthropic Project Glasswing & Claude Mythos, AI가 기업 보안을 자율적으로 지키는 시대
Anthropic의 Project Glasswing과 Claude Mythos가 기업 보안 AX에 주는 시사점 — AI 자율 취약점 탐지, 보안팀 역할 재정의, 공급망 보안 자동화 실전 가이드.
# Anthropic Project Glasswing & Claude Mythos, AI가 기업 보안을 자율적으로 지키는 시대
2026년 4월, Anthropic이 두 가지 굵직한 발표를 했습니다. 하나는 Project Glasswing — Claude를 활용해 오픈소스 핵심 인프라의 제로데이 취약점을 능동적으로 탐지하고 수정하는 프로젝트. 또 하나는 Claude Mythos Preview — 사이버보안 전문 AI 모델로, 실제 운영체제와 브라우저의 제로데이를 자율적으로 발견하고 익스플로잇 코드까지 작성하는 능력을 갖췄다는 평가입니다.
이 두 발표는 별개처럼 보이지만, 사실 같은 방향을 가리키고 있습니다. AI가 기업 보안 영역에서 단순 보조 도구를 넘어 자율 행위자로 자리잡는 흐름입니다.
Project Glasswing: AI가 보안 허점을 먼저 찾는다
Project Glasswing은 Anthropic이 공익 목적으로 추진하는 이니셔티브입니다. Claude를 활용해 OpenSSL, Apache, Linux 커널 같은 전 세계 기업이 의존하는 오픈소스 소프트웨어의 취약점을 공격자보다 먼저 발견하고 수정하는 것이 목표입니다.
기존 취약점 탐지 방식과 비교하면 접근법이 근본적으로 다릅니다:
| 구분 | 기존 방식 | Glasswing 방식 |
| 주체 | 보안 연구원(사람) | Claude AI 에이전트 |
| 탐색 방식 | 수동 코드 리뷰, 퍼징 테스트 | 자율적 코드 분석 + 취약점 패턴 인식 |
| 커버리지 | 제한적 (연구원 수에 비례) | 대규모 코드베이스 동시 분석 가능 |
| 속도 | 주~월 단위 | 시간 단위 |
| 패치 방식 | 수동 수정 후 PR 제출 | AI가 수정 코드까지 생성 |
Anthropic 측 발표에 따르면 Glasswing은 이미 실제 오픈소스 프로젝트에서 공개되지 않은 취약점을 다수 발견해 해당 메인테이너에게 보고하고 수정 PR을 제출했습니다.
Claude Mythos: 공격적 보안 역량을 갖춘 전문 모델
Claude Mythos Preview는 일반 AI 어시스턴트와는 결이 다른 모델입니다. Anthropic의 Red Team이 발표한 기술 보고서에 따르면, Mythos는 실제 운영체제(Linux, Windows)와 브라우저에서 제로데이 취약점을 자율적으로 탐지하고, 실제 동작하는 익스플로잇 코드를 작성하는 능력을 보유한 것으로 평가받았습니다.
물론 이 능력은 두 가지 맥락에서 이해해야 합니다:
- 방어적 활용: 조직의 침투 테스트(Pentest), 취약점 사전 발견, 보안 코드 리뷰
- 잠재적 위험: 악의적 행위자가 악용할 경우의 리스크
Anthropic은 Mythos를 공개하면서 접근 권한을 제한하고, 보안 연구자와 기업 전용 채널을 통해서만 제공하는 방식을 택했습니다.
기업 보안 AX 전환에 주는 시사점
Project Glasswing과 Claude Mythos가 기업 현장에 던지는 메시지는 분명합니다.
1. 보안 감사가 자동화되는 시대
기업의 내부 소프트웨어 취약점 감사에 AI 에이전트가 투입될 수 있는 현실이 왔습니다. 기존에는 외부 보안 전문업체에 의뢰하거나 내부 보안팀이 수동으로 코드를 검토했다면, 이제는 AI 에이전트가 CI/CD 파이프라인에 통합되어 매 배포마다 자동으로 취약점을 스캔하는 구조가 현실적입니다.
이 자동화는 비용과 커버리지 두 측면 모두에서 기존 방식을 앞섭니다.
2. 보안 팀 역할의 재정의
AI가 취약점 탐지와 초기 패치 제안을 자동화하면, 보안 담당자는 더 이상 반복적인 코드 리뷰에 시간을 쏟지 않아도 됩니다. 대신 AI가 제안한 수정 사항을 검토하고, 실제 비즈니스 리스크를 판단하는 상위 의사결정 역할에 집중하게 됩니다.
이는 보안 팀이 더 적은 인원으로 더 넓은 범위를 커버할 수 있게 되는 AX 전환의 대표적인 사례입니다.
3. 공급망 보안(Supply Chain Security)의 자동화
오픈소스 라이브러리 의존성은 기업 보안의 가장 큰 사각지대 중 하나입니다. Glasswing처럼 오픈소스 취약점을 AI가 선제적으로 모니터링하는 구조가 확산되면, 기업은 자체적으로 모든 의존성을 관리하지 않아도 됩니다.
나무숲(TreeSoop) 팀에서도 AI 기반 자동화 시스템을 구축할 때 의존성 취약점 모니터링을 중요한 운영 요소로 다루고 있습니다. 단순히 개발 단계의 문제가 아니라, 서비스 운영 전체에 걸친 지속적인 관리가 필요하기 때문입니다.
AI 보안 자동화 도입 시 고려할 점
AI 기반 보안 자동화를 기업에 도입하려면 몇 가지를 먼저 정리해야 합니다.
탐지 범위 명확화
어떤 영역을 자동화할 것인가? 코드 취약점 스캔, 접근 권한 이상 탐지, 로그 기반 침해 감지 등 영역에 따라 필요한 모델과 아키텍처가 달라집니다.
인간 검토 지점 설계
AI가 탐지한 취약점을 자동으로 수정하게 할 것인지, 반드시 인간의 검토를 거칠 것인지를 명확히 정해야 합니다. 특히 프로덕션 환경에 영향을 주는 수정은 자동화 범위 밖에 두는 것이 일반적입니다.
기존 보안 도구와의 통합
기업이 이미 운용 중인 SIEM, SAST 도구와 AI 에이전트를 어떻게 연동할지도 설계 초기에 정해야 합니다. AI 에이전트가 독립적으로 동작하는 것보다 기존 보안 스택과 통합되는 구조가 훨씬 운영 효율이 높습니다.
마치며
Project Glasswing과 Claude Mythos는 AI가 "보안을 논의하는 도구"에서 "보안을 실행하는 행위자"로 전환하는 이정표입니다. 기업 관점에서는 이 흐름을 단순히 "AI 회사들의 기술 경쟁"으로 보기보다, 우리 조직의 보안 역량을 AI로 어떻게 증폭할 것인가라는 실행 질문으로 전환해야 할 시점입니다.
AI 기반 업무 자동화나 보안 시스템 도입에 대해 궁금한 점이 있다면, treesoop.com을 통해 나무숲 팀에 문의해보세요.
👉 카카오톡 문의 | official@treesoop.com