Anthropic, Mythos 취약점 공유 정책 완화…파트너 정보 공개 가능

5월 18일, Anthropic이 정책을 변경했다. 이전에는 Mythos로 발견한 취약점을 파트너가 내부에서만 처리해야 했지만, 이제는 서로 공유하고 규제 기관, 언론, 심지어 대중에게도 공개할 수 있다.

이번 변경은 Mythos 프로그램의 논리에 대한 중요한 수정이다.

이전 정책은 폐쇄적이었다

Mythos는 4월 7일 출시되었다. Claude를 기반으로 훈련된 공격 발견 전용 AI 모델로, 일반 소프트웨어를 스캔해 알려지지 않은 취약점을 찾아낸다. 직접 판매되지 않고 Project Glasswing이라는 통제된 프로그램을 통해 Amazon, Microsoft, Nvidia, Apple 등 40개 기업이 참여했다. 설계 의도는 확산 통제에 있었다.

초기 계약 조건에서 파트너는 발견한 취약점을 내부에서만 처리할 수 있었다. 이로 인해 난처한 상황이 발생했다.

Palo Alto Networks는 최근 Mythos로 자사 제품을 스캔해 한 달 만에 75개의 취약점을 발견했는데, 이는 평소 속도의 7배다.

Palo Alto가 정보를 공유할 수 없다면 업계 전체의 보안 수준은 Glasswing 내부에서만 높아지고, 동일한 취약점이 있는 제품을 사용하는 다른 기업은 문제를 인지하지 못한다.

변경 내용 및 공유 가능 대상

Anthropic 대변인이 로이터에 말한 바에 따르면:

"우리는 파트너가 Glasswing 내외부 기업과 취약점 정보를 공유하고 분류하는 것을 전적으로 지원합니다."

파트너는 이제 Mythos로 발견한 취약점 정보를 다음 대상과 공유할 수 있다:

  • Glasswing 내 다른 멤버
  • Glasswing 외부 기업(영향을 받는 벤더)
  • 업계 단체
  • 규제 기관 및 정부
  • 오픈소스 소프트웨어 유지관리자
  • 언론
  • 대중

단, 책임 있는 공개 규범을 따라야 한다. 즉, 벤더에 수정 기간을 제공한 후 공개해야 한다.

왜 지금 변경했나

이는 Anthropic이 자발적으로 생각해낸 것이 아니라 파트너의 요구에 의한 것이다. 파트너는 취약점을 아는 것 자체가 표적이 될 위험이 있다고 우려했다. 예를 들어, A사가 Mythos로 인기 데이터베이스의 제로데이를 발견했다고 가정하자. 기존 규칙에서는 A사가 자체 배포만 조용히 패치할 수 있다. 그러나 공격자는 패치를 보고 취약점을 역추적할 수 있으며, 동일한 데이터베이스를 사용하는 다른 기업이 즉시 공격에 노출된다.

이번 정책 완화는 방어 정보를 사적 재화에서 공공재로 되돌리는 것으로, 보안 커뮤니티의 조기 광범위 협력 공개 합의에 부합한다.

규제 기관도 움직이고 있다

PYMNTS와 BusinessToday의 보도에 따르면, Anthropic은 금융안정위원회(FSB)에 Mythos의 능력과 발견 내용에 대한 특별 브리핑을 제공하기로 했다. 이는 Mythos 출시 후 중앙은행 총재, 파월, 베센트가 우려를 표명하고 아시아와 유럽 금융 규제 기관도 관심을 보인 데 따른 것이다. Anthropic은 소통 창구를 연 셈이다.

이 단계의 의미

타임라인을 살펴보면:

  • 4월 7일: Mythos 출시, 폐쇄 테스트
  • 4월~5월: Glasswing 멤버들이 발견 내용 공개, 중앙은행 경계
  • 5월 18일: 정책 역전, 발견 공유 가능

불과 40일 만에 Anthropic은 엄격한 확산 통제에서 공유 장려로 방향을 틀었다. 핵심은 파트너의 실제 데이터가 Mythos의 공격 발견 능력이 우연이 아니라 구조적으로 우수함을 증명했다는 점이다.

다음 주목점은 Glasswing의 확대 여부다. Anthropic이 참여 기업을 40개에서 100개, 200개로 늘리면 이 프로그램은 '전시용 파일럿'에서 '업계 인프라'로 변모할 것이다.

이제 모든 대기업의 테이블에 질문이 놓였다: 자사 보안팀이 AI를 사용하지 않고, 적이 사용한다면 어떻게 할 것인가?

출처: Anthropic to let partners share Mythos cybersecurity findings with others (Reuters via Investing.com / KFGO / CGTN); Anthropic Will Update Regulators on Mythos' Cyber Vulnerability Findings (PYMNTS); Anthropic's Mythos AI raises banking cyber risk concerns, FSB briefing planned (BusinessToday); CocoLoop, Anthropic's Mythos Feature Enhances Cyber Threat Sharing (DevDiscourse)