27년 된 제로데이 발견, Claude Mythos의 보안 파괴력과 Glasswing 전략

Context

최신 LLM의 취약점 분석 능력이 임계점을 넘어 실제 시스템 파괴 가능성 증대. 단순 오탐 수준의 AI Slop 단계를 지나 실효성 있는 보안 리포트가 급증하는 추세. 고도로 정교한 공격 체인이 가능해짐에 따라 일반 공개 시 전 세계 인프라 위협 우려.

Technical Solution

• Claude Mythos 모델을 보안 전문가 및 제한된 파트너에게만 제공하는 Project Glasswing 운영 전략
• 여러 개의 개별 취약점을 논리적으로 연결하여 정교한 최종 공격 경로를 생성하는 Vulnerability Chaining 능력 활용
• OS 및 웹 브라우저 등 핵심 인프라의 바이너리 블랙박스 테스트와 로컬 취약점 탐지 수행
• 탐지된 고위험 취약점을 유지보수자에게 사전 통보하고 패치를 배포하는 책임 있는 공개 방식 채택
• 차기 Claude Opus 모델에 보안 가드레일을 우선 적용하여 Mythos급 모델의 안전한 배포를 위한 검증 루프 구축
• 오픈소스 보안 조직에 직접 기부 및 사용 크레딧 제공을 통한 생태계 방어 체계 강화

Impact

• 27년 동안 유지된 OpenBSD 커널의 TCP SACK 옵션 관련 크래시 취약점 발견
• Project Glasswing 운영을 위해 1억 달러 규모의 사용 크레딧 및 400만 달러의 오픈소스 보안 기부금 투입

Key Takeaway

AI 에이전트의 코드 분석 능력이 인간의 수동 분석 속도를 압도하는 시대에 진입함. 공격자의 도구화 속도보다 방어자의 패치 속도를 높이기 위한 '제한적 선제 공개'와 '가드레일 선검증' 설계 원칙이 필수적임.