앤트로픽 ‘미토스’, 한 달 만에 SW 보안 취약점 1만개 확인

앤트로픽이 차세대 인공지능(AI) 모델 '클로드 미토스 프리뷰'로 한 달 만에 1만건 이상 세계 주요 소프트웨어(SW) 보안 취약점을 찾아냈다.

앤트로픽은 최근 리포트를 통해 약 50개 파트너사가 함께한 '프로젝트 글래스윙'으로 미토스 프리뷰를 활용, 인터넷과 주요 인프라를 구성하는 세계 핵심 SW의 고위험·치명적 보안 취약점을 1만개 이상 발견했다고 밝혔다. 핵심 소프트웨어를 대상으로 검사를 진행했다.

클라우드플레어는 미토스로 핵심 시스템에서 2000개의 버그를 발견했으며 이 가운데 400개는 고위험 또는 치명적 수준이었으며, 버그 탐지 정확도는 인간 보안 전문가보다 우수했다고 평가했다.

영국 AI보안연구소(AISI)는 미토스가 다단계 사이버 공격 시뮬레이션을 완전히 수행한 첫 모델이라고 전했다. 모질라는 파이어폭스 150 테스트 과정에서 271개 취약점을 수정했다며 이전 세대 모델 대비 10배 이상 증가한 수치라고 설명했다.

오픈소스 대상 검증도 진행됐다. 앤트로픽은 1000개 이상 오픈소스 프로젝트를 분석해 총 2만3019개 취약점을 찾아냈다. 이 가운데 6202개를 고위험·치명적 수준으로 추정했다. 외부 보안업체 검증 결과, 실제 확인된 사례 90.6%가 진짜 취약점이었으며 62.4%는 실제 고위험·치명적 수준으로 판별됐다.

미토스는 세계 수십억대 기기에서 사용되는 오픈소스 암호화 라이브러리 'wolfSSL' 결함을 발견했다. 공격자가 가짜 인증서를 위조해 은행이나 이메일 서비스로 위장할 수 있는 취약점도 찾았다.

앤트로픽은 “과거에는 취약점을 찾는 속도가 한계였지만 이제는 AI가 너무 많은 취약점을 발견. 이를 검증·공개·패치하는 인간측 대응 능력이 병목이 되고 있다”고 진단했다.

앤트로픽에 따르면 미토스가 찾아낸 고위험 버그 하나를 수정하는 데 평균 2주 정도 걸리며 오픈소스 유지 관리자 상당수는 “AI가 너무 많은 버그를 쏟아내 대응 역량이 부족하다”고 호소했다.

실제 현재까지 보고된 고위험 취약점 가운데 패치 완료된 것은 일부에 불과하다. 앤트로픽은 “미토스급 AI가 공개되면 취약점 탐색과 공격 비용이 급감할 수 있다”며 “개발사와 네트워크 운영자들에 패치 주기 단축, 다중인증 강화, 로그 관리 강화 등을 서둘러야 한다”고 강조했다.

박종진 기자