보안 취약점 쏟아내는 미토스, 검증·패치 속도가 병목

Source: Byline Network

프로젝트 글래스윙 개요

앤트로픽은 4월부터 진행된 프로젝트 글래스윙의 초기 성과를 22일 공개했습니다. 글래스윙은 미토스 프리뷰를 이용해 소프트웨어 보안 취약점을 미리 찾아 대응하려는 협력 프로젝트이며, 앤트로픽 주도로 50여 개 파트너사가 참여하고 있습니다.

취약점 탐지 결과

• 파트너사들은 모두 합해 1만 개가 넘는 취약점을 찾아냈습니다.
• 대부분의 파트너사는 한 달 만에 각자 소프트웨어에서 수백 개의 심각한 취약점을 발견했습니다.
• 예시: 클라우드플레어는 자사 핵심 시스템에서 2,000개에 달하는 버그를 발견했으며, 그 중 400개는 고위험·치명적 등급이었습니다.

• 앤트로픽은 1,000개 이상의 오픈소스 소프트웨어를 검사해 2만 3,019개 취약점 후보를 탐지했습니다.
• 고위험·치명적 분류군 중 표본 1,752건을 정밀 검토한 결과, **90.6%**가 실제 결함, **62.4%**가 심각한 수준의 실제 결함으로 확인되었습니다.

패치율 및 문제점

• 전체 오픈소스 취약점 2만 3,019개 중 97개에만 패치가 이루어졌습니다.
• 관리자에게 보고된 심각 수준 버그 530개 중 75개만이 패치되었습니다.

패치율이 저조한 원인은 취약점 탐지 이후 처리 과정에 있습니다.

원인 분석

1. 분류·검증 단계

   • 앤트로픽이나 외부 보안 연구 기업이 취약점 후보의 위험도를 평가해 분류합니다.
   • 실제 위협이 되는 취약점이 추려지면 앤트로픽이 상세 보고서를 작성하고, 오픈소스 관리자가 이를 검토합니다.
   • 일부 관리자는 앤트로픽을 거치지 않고 자체 검증을 진행하기도 합니다.
   • 이 과정은 사람의 정밀한 판단이 요구돼 속도가 느립니다.

2. 패치 구현 단계

   • 심각한 버그 하나를 분석하고 패치를 설계·배포하는 데 평균 2주가 소요됩니다.
   • 최근 오픈소스 관리자들은 버그 헌터들이 AI로 마구 생성해내는 저품질 버그 보고서를 걸러내는 작업까지 해야 하는 상황입니다.
   • 이러한 과중한 업무로 인해 관리자들은 “극심한 피로를 호소하고 있다”고 설명했습니다.

향후 권고사항

• 패치 주기 단축: 보안 수정 사항을 가능한 한 신속하게 배포할 것을 권고합니다.
• 기본 방어 체계 강화: 다중 인증, 로그 관리 등 특정 패치 배포 여부에 의존하지 않는 방어 체계를 확립해야 합니다.
• AI와 인간 역량의 조화: 현재는 “과도기(interim period)”로, AI가 빠르게 취약점을 발견하지만 인간의 검증·패치 역량이 병목이 되고 있음을 인식하고 프로세스를 개선해야 합니다.

출시 보류 상황

앤트로픽은 현재 미토스급 모델의 악용을 완벽히 통제할 세이프가드가 부족하다는 이유로 출시를 보류하고 있습니다. 각국 정부 및 핵심 파트너와 협력해 프로젝트 글래스윙의 범위를 넓히고, 세이프가드가 마련되는 대로 해당 모델을 일반에 공개할 예정이라고 전했습니다.

---

글. 바이라인네트워크
이슬찬 기자 – seulbae@byline.network