AI가 찾은 중대 취약점 1만 건, 이제 병목은 패치 속도

취약점을 찾는 속도가 패치 속도를 앞지르기 시작했다. Anthropic의 5월 22일 Project Glasswing 업데이트는 Claude Mythos Preview와 약 50개 파트너가 세계적으로 중요한 소프트웨어에서 high 또는 critical 등급 취약점 1만 건 이상을 찾아냈다고 밝혔다.

이 숫자가 중요한 이유는 단순한 AI 보안 시연이 아니기 때문이다. Anthropic은 지난 몇 달 동안 1,000개가 넘는 오픈소스 프로젝트를 스캔했고, Mythos Preview가 총 23,019건의 후보 취약점을 냈다고 설명했다. 이 가운데 모델이 high·critical로 본 항목은 6,202건이다.

검증 결과도 가볍지 않다. Anthropic에 따르면 high·critical 후보 1,752건은 6개 독립 보안 연구 업체와 일부 내부 검토를 거쳤고, 90.6%인 1,587건이 실제 양성으로 확인됐다. 62.4%인 1,094건은 high 또는 critical 심각도로 재확인됐다. 현재 비율이 유지된다면 오픈소스 쪽에서만 약 3,900건의 high·critical 취약점이 드러날 수 있다는 계산이다.

Glasswing은 90일 책임 공개 관행을 전제로 움직인다. 패치가 먼저 나오면 약 45일 뒤 공개하는 방식도 쓴다. 그래서 Anthropic은 세부 취약점 정보를 대부분 공개하지 않았다. 공개가 늦어지는 것은 홍보 부족이 아니라, 사용자에게 패치할 시간을 주기 위한 보안 절차다.

운영 관점의 변화가 더 크다. 예전에는 보안팀이 새로운 취약점을 얼마나 빨리 찾는지가 병목이었다. 이제는 AI가 찾아낸 대량의 후보를 재현하고, 심각도를 다시 매기고, 유지관리자에게 보고서를 보내고, 실제 패치가 배포될 때까지 추적하는 일이 병목이다. AI 보안 모델의 성능 경쟁은 곧 패치 운영 능력 경쟁으로 이어진다.

Anthropic은 Mythos급 모델을 아직 공개 배포하지 않는다고 밝혔다. 오남용을 막을 충분한 안전장치가 없다는 판단 때문이다. 동시에 미국 및 동맹국 정부와 핵심 파트너로 Glasswing을 확대하겠다고 했다. 앞으로 볼 지점은 취약점 발견량이 아니라 공개 대시보드에서 실제 패치와 CVE·GitHub Security Advisory로 이어지는 속도다.