2026년 4월, 앤트로픽은 조용히 세상에서 가장 위험한 사이버 무기를 만들었다. 그리고 즉시 그것을 방어용으로 사용하기로 결정했다. 클로드 마이토스 프리뷰(Claude Mythos Preview)는 윈도우·맥OS·리눅스 등 모든 주요 운영체제와 크롬·사파리·파이어폭스 등 모든 주요 웹 브라우저에서 수천 개의 제로데이 취약점을 자율적으로 발견했다. 이는 단순히 AI가 코드를 분석한다는 이야기가 아니다. AI가 처음으로 인간 최고의 해커들보다 더 빠르게, 더 체계적으로 취약점을 찾아낸 것이다.
실제로 무슨 일이 있었나
앤트로픽은 2026년 4월 7일, 프로젝트 글래스윙(Project Glasswing)을 공개했다. 아직 공개 출시되지 않은 자사의 최강 모델, 클로드 마이토스 프리뷰를 활용해 세계의 핵심 소프트웨어 보안을 강화하는 프로그램이다. 앤트로픽이 공개한 내용에 따르면, 마이토스 프리뷰는 단 몇 주 만에 모든 주요 OS와 웹 브라우저에서 수천 개의 제로데이 취약점을 발견했다. 가장 충격적인 사례는 17년간 존재해 왔지만 아무도 발견하지 못한 FreeBSD 원격 코드 실행 취약점(CVE-2026-4747)이다. NFS를 실행하는 서버에서 완전한 루트 권한을 획득할 수 있는 이 취약점을 마이토스는 완전 자율적으로 발견하고 익스플로잇했다.
프로젝트 글래스윙에 초기 접근권을 받은 파트너는 AWS, 애플, 브로드컴, 시스코, 크라우드스트라이크, 구글, JP모건 체이스, 리눅스 재단, 마이크로소프트, 엔비디아, 팔로알토 네트웍스다. 이 명단은 글로벌 디지털 인프라의 핵심을 담당하는 기업들이다. 앤트로픽은 이들에게 먼저 취약점 정보를 제공하고 패치를 개발할 시간을 주겠다는 것이다, 악의적인 행위자가 유사한 능력을 갖추기 전에.
이것이 왜 생각보다 훨씬 중요한가
사이버보안의 역사는 언제나 공격자와 방어자 간의 비대칭 전쟁이었다. 공격자는 단 하나의 취약점만 찾으면 되지만, 방어자는 모든 취약점을 막아야 한다. 그리고 지금까지 공격자가 항상 앞서 있었다. 클로드 마이토스의 등장은 이 방정식을 근본적으로 바꿀 수 있다. 세계 최고 수준의 침투 테스터 수천 명을 동시에 가동하는 것과 같은 효과를 내는 AI가 방어자 편에 서는 것이다.
동시에, 이것은 역사상 가장 위험한 사이버 무기의 존재를 공식 확인한 것이기도 하다. 앤트로픽이 마이토스 프리뷰를 일반에 공개하지 않기로 결정한 이유는 바로 이 때문이다. "모든 주요 OS와 브라우저에서 제로데이를 자율적으로 찾고 익스플로잇할 수 있는 AI"가 랜섬웨어 갱, 국가 지원 해킹 그룹, 또는 다른 악의적 행위자의 손에 들어간다면 어떻게 될까? 앤트로픽은 그 질문에 답하지 않기로 했다.
경쟁 구도
프로젝트 글래스윙은 AI 사이버보안 경쟁에서 앤트로픽이 선제적 포지션을 잡는 전략이다. 구글은 이미 자사의 AI를 통한 취약점 발견 프로젝트를 운영하고 있으며, 마이크로소프트 시큐리티 코파일럿은 기업 환경에서 널리 사용되고 있다. 하지만 어떤 기업도 "우리 AI가 모든 주요 OS의 제로데이를 자율적으로 찾는다"고 공식 발표한 적은 없었다. 앤트로픽은 마이토스로 사이버보안 AI의 기준을 새로 세웠다.
흥미롭게도, 앤트로픽이 군사적 사용을 거부하면서 펜타곤 계약을 잃은 것과 프로젝트 글래스윙은 동전의 양면이다. 미군은 마이토스 같은 모델을 공격용 사이버 작전에 사용하고 싶어 했을 것이다. 앤트로픽은 그것을 거부했다. 대신, 같은 기술을 방어용으로만 사용하겠다는 선택을 한 것이다. 이것이 비즈니스적으로 옳은 결정인지는 시간이 말해줄 것이다.
숨은 인사이트: 패치 속도가 새로운 경쟁력이 된다
프로젝트 글래스윙이 진짜 중요한 이유는 취약점 발견 자체가 아니다. 앤트로픽이 방어자 연합(Defenders Coalition)을 구축하고 있다는 것이다. AWS, 구글, 마이크로소프트, 애플, 엔비디아, 이 기업들은 서로 치열하게 경쟁하지만, 글래스윙 파트너로서 취약점 정보를 공유하게 된다. 이것은 사실상 전례 없는 빅테크 사이버보안 동맹이다. 앤트로픽은 이 동맹의 중심에 서게 된다.
장기적으로 더 중요한 문제가 있다. 마이토스가 수천 개의 취약점을 발견했다면, 그것들이 모두 패치되기까지 얼마나 걸릴까? 리눅스 재단의 오픈소스 프로젝트들, 전 세계 수백만 개의 서버에서 실행되는 FreeBSD, 스마트폰 수십억 대의 iOS와 안드로이드, 이 모든 곳에 패치를 배포하는 것은 기술적 문제가 아니라 조직적 문제다. 앤트로픽이 취약점을 발견하는 속도와 소프트웨어 업체들이 패치를 배포하는 속도의 격차가 오히려 새로운 위험 창(window of exposure)을 만들 수 있다.
가장 불편한 진실은 이것이다: 클로드 마이토스가 이 취약점들을 발견했다면, 동등한 능력을 가진 다른 AI 모델, 국가 지원 연구소에서 개발 중인, 도 이미 같은 취약점들을 알고 있을지 모른다. 앤트로픽의 프로젝트 글래스윙은 경쟁보다 협력이 필요한 이 순간의 긴급성을 보여준다. 그러나 그 긴급성이 실제 패치 속도로 이어질지는 또 다른 문제다.
다음에 주목할 것들
향후 60일 안에 글래스윙 파트너사들이 CVE를 얼마나 빠르게, 얼마나 많이 공개 패치하는지를 추적해야 한다. 특히 애플의 iOS·맥OS 패치와 마이크로소프트 윈도우 패치의 속도가 핵심이다. 만약 취약점 발견 이후 90일이 지나도 주요 패치가 나오지 않는다면, 오히려 앤트로픽이 세상에서 가장 위험한 미공개 취약점 목록을 만들어낸 셈이 된다.
또한 앤트로픽이 클로드 마이토스 프리뷰를 공개 버전에서 얼마나 제한할지가 중요하다. 기업 고객들이 자사 코드베이스의 보안 감사에 마이토스를 사용할 수 있게 된다면, 사이버보안 SaaS 시장 전체가 재편될 것이다. 크라우드스트라이크, 팔로알토 네트웍스 같은 전통적 사이버보안 기업들이 AI 시대에 어떻게 포지션을 재정립하는지를 관찰하라.
AI가 제로데이를 찾는 속도가 인간이 패치하는 속도를 앞질렀다, 그리고 우리는 아직 그 차이를 좁힐 준비가 되어 있지 않다.
핵심 요약
- 클로드 마이토스 프리뷰, 수천 개 제로데이 자율 발견 , 모든 주요 OS와 브라우저에서 취약점 발견, 17년 된 FreeBSD RCE(CVE-2026-4747) 포함.
- 프로젝트 글래스윙 파트너: AWS·애플·구글·MS 등 11개사 , 세계 디지털 인프라 핵심 기업들이 방어자 동맹 구성.
- 일반 공개 없음 , 이중 사용(dual-use) 위험으로 마이토스 프리뷰는 선별된 파트너에만 제공.
- 공격·방어 비대칭성 역전 가능성 , AI가 방어자 편에 서면서 30년 만의 사이버보안 패러다임 전환.
- 앤트로픽 vs. 펜타곤 갈등의 배경 , 미군이 원한 것이 정확히 마이토스의 이 능력이었을 가능성이 높다.
더 생각해볼 것들
- 앤트로픽이 취약점 정보를 파트너사에 먼저 알리는 동안, 국가 지원 해커들이 이미 같은 취약점을 알고 있다면 어떻게 해야 할까?
- "AI를 군사 공격에 사용하지 않겠다"는 앤트로픽의 결정이 결국 더 위험한 행위자들에게만 이 기술을 독점하게 만드는 것은 아닐까?
- 당신의 회사 코드베이스가 마이토스 수준의 AI로 스캔된다면, 몇 개의 치명적 취약점이 발견될 것이라고 생각하는가?