글래스윙 프로젝트

글래스윙 프로젝트는 인공지능의 자율적인 취약점 발견 능력이 급격히 향상됨에 따라 발생할 수 있는 시스템적 위험에 대응하기 위해 조직되었다. 앤스로픽은 내부 테스트를 통해 차세대 모델이 수십 년 된 운영체제 결함과 수천 개의 제로데이(Zero-day) 취약점을 찾아낼 수 있음을 확인하였다. 이러한 능력이 무분별하게 공개될 경우 초래될 보안 위협을 방지하고자, 모델을 일반에 공개하는 대신 신뢰할 수 있는 파트너사들에게만 제한적으로 제공하여 방어적 보안 연구에 활용하도록 하였다. 프로젝트 명칭 '글래스윙(Glasswing)'은 투명한 날개를 가진 나비에서 착안한 것으로, 보안 취약점을 투명하게 들여다보고 방어한다는 의미를 담고 있다.

프로젝트의 핵심 동력인 클로드 미토스 프리뷰(Claude Mythos Preview)는 기존 모델과 차별화된 보안 분석 능력을 갖춘 프론티어 모델이다. 이 모델은 일반 목적의 미공개 모델로, 소프트웨어 취약점을 찾고 악용하는 능력에서 대부분의 인간 전문가를 능가하는 수준에 도달한 것으로 평가된다. 앤스로픽의 내부 테스트 결과, 이 모델은 주요 운영체제와 웹 브라우저 전반에서 수천 개의 고위험군 취약점을 발견하였다. 구체적인 사례로는 23년 된 리눅스(Linux) 커널 취약점, 27년 된 OpenBSD TCP SACK 결함, FreeBSD NFS 원격 코드 실행 취약점 등이 포함된다. 보안상의 이유로 이 모델은 일반 대중에게 공개되지 않으며, 프로젝트 참여 기관과 엄선된 조직에 한해 제한적으로 접근 권한이 부여된다.

앤스로픽을 포함하여 총 12개의 글로벌 기업 및 단체가 창립 파트너로 참여하였다. 참여 조직은 다음과 같다.

이외에도 핵심 소프트웨어 인프라를 운영하는 약 40개의 추가 조직이 접근 권한을 부여받아 자체 시스템과 오픈소스 생태계의 취약점을 점검한다. 이들 추가 조직은 공개되지 않았으며, 보안상의 이유로 명단이 비공개로 유지된다.

앤스로픽은 프로젝트의 실질적인 성과를 위해 대규모 자원을 투입한다. 참여 조직들에게 총 1억 달러 규모의 모델 사용 크레딧을 제공하며, 오픈소스 보안 강화를 위해 관련 단체에 400만 달러를 별도로 기부한다. 또한 자격을 갖춘 보안 연구자들을 위해 '사이버 검증 프로그램(Cyber Verification Program)' 신청 양식을 운영하여 민간 차원의 보안 연구를 지원한다. 이 프로그램을 통해 선정된 연구자는 클로드 미토스 프리뷰 모델에 접근하여 취약점 분석을 수행할 수 있다.

클로드 미토스 프리뷰는 출범 이전 테스트 단계에서 이미 수천 건의 제로데이 취약점을 발견하였다. 주요 발견 사례는 다음과 같다.

• 리눅스 커널: 23년 동안 발견되지 않았던 고위험 취약점
• OpenBSD: 27년 된 TCP SACK 결함
• FreeBSD: NFS 원격 코드 실행 취약점
• 웹 브라우저: 다수의 브라우저에서 고위험군 취약점 다수 발견

이러한 취약점들은 모두 해당 소프트웨어 유지보수 팀에 통보되어 패치가 진행 중이거나 완료되었다. 앤스로픽은 AI 모델의 취약점 발견 능력이 빠르게 확산될 가능성을 경고하며, 방어적 사용이 시급하다고 강조하였다.

글로벌 빅테크 기업들이 주도하는 이 보안 협의체에 대해 각국 정부도 관심을 보이고 있다. 대한민국 과학기술정보통신부는 2026년 4월, 앤스로픽의 글래스윙 프로젝트를 비롯한 주요 AI 기업의 보안 협의체에 공식 참여하는 방안을 타진하고 있다고 밝혔다. 이는 AI 모델이 보안 생태계에 미칠 영향에 대해 국가 차원의 경계 태세를 갖추고 직접적인 정보 공유 체계를 구축하기 위한 행보로 풀이된다. 또한 유럽연합과 미국 정부도 이 프로젝트에 대한 모니터링과 협력 가능성을 검토 중인 것으로 알려졌다. 전문가들은 AI 기반 취약점 발견이 사이버 보안 패러다임을 근본적으로 변화시킬 것이라고 전망하며, 글래스윙 프로젝트가 그 선례가 될 것이라고 평가한다.