AI가 바꾼 사이버보안의 판도, 방어 전략도 AI 속도로 재설계되어야 할 때

본 리포트는 Anthropic의 Project Glasswing을 출발점으로 AI 기반 취약점 탐지가 기업 보안 전략에 가져오는 세 가지 핵심 변화를 짚고, 소프트웨어 공급망 보안부터 DevSecOps 내재화까지 실행 가능한 대응 방향을 제시합니다. 자세한 내용은 아래 리포트에서 확인할 수 있습니다.

 

리포트 핵심 내용 한눈에 보기

 

1. Project Glasswing이 보여준 전환점 – Anthropic의 Project Glasswing은 Claude Mythos Preview를 방어자 중심으로 제한 제공하여 핵심 소프트웨어의 취약점 식별과 검증에 활용하는 글로벌 협력 이니셔티브입니다. – AI가 보안 문서 작성이나 관제 보조를 넘어 취약점 탐지와 공격 가능성 검증 영역으로 확장되고 있음을 보여줍니다.   2. AI 기반 취약점 탐지 – AI는 대규모 코드, 바이너리, 오픈소스 구성요소를 빠르게 분석하고 복합 취약점의 연쇄 가능성까지 점검하는 단계로 진화하고 있습니다. – 이는 방어자에게는 탐지 범위와 속도를 확대하는 기회이지만, 공격자에게도 취약점 발견과 공격 준비의 진입장벽을 낮추는 양면성을 가집니다.   3. 속도 중심의 취약점 관리 – AI 시대의 보안 경쟁은 “누가 취약점을 먼저 찾는가”에서 “누가 더 빠르게 검증하고 조치하는가”로 이동합니다. – 기업은 취약점 목록 관리에 그치지 않고 자산 중요도, 외부 노출도, 악용 가능성, 비즈니스 영향을 종합한 우선순위 기반 대응 체계를 갖춰야 합니다.   4. 소프트웨어 공급망 보안 – 현대 기업 시스템은 오픈소스, SaaS, API, 컨테이너 이미지, 클라우드 서비스 등 외부 구성요소와 깊게 연결되어 있습니다. – AI 기반 취약점 탐지 확산은 SBOM, 오픈소스 취약점 관리, 서드파티 리스크 관리, 패치 거버넌스를 기업 보안의 핵심 과제로 부상시킵니다.   5. DevSecOps와 실행 거버넌스 – NIST SSDF와 CISA Secure by Design 관점처럼 보안은 개발 이후 점검하는 활동이 아니라 기획, 설계, 개발, 테스트, 배포, 운영 전 과정에 내재화되어야 합니다. – 보안조직은 단순 탐지자가 아니라 개발·인프라·운영 조직의 실행을 조율하는 보안 PMO 역할로 확장되어야 합니다.

 

 

[FAQ]

 

Q1. Project Glasswing이란 무엇이며, 기업 보안에 어떤 의미가 있나요?

Project Glasswing은 Anthropic이 Claude Mythos Preview를 방어자 중심으로 제한 제공하여 핵심 소프트웨어의 취약점 탐지와 보안 검증에 활용하는 글로벌 협력 이니셔티브입니다. 이 프로젝트를 통해 AI는 기존 자동화 테스트나 인간 전문가 리뷰로는 발견하기 어려웠던 복잡한 취약점을 탐지하고, 취약점 간 연쇄 가능성까지 검증하는 단계로 진화하고 있음이 입증됐습니다. OpenBSD에서 27년간 잠재된 취약점, FFmpeg에서 16년간 발견되지 않았던 취약점, Linux Kernel에서 권한 상승이 가능한 복합 취약점을 탐지한 사례는 AI 기반 보안 검증이 기업 보안의 새로운 축으로 부상하고 있음을 보여줍니다.

 

Q2. AI가 방어자와 공격자 모두에게 미치는 영향은 어떻게 다른가요?

방어자 입장에서는 AI를 활용해 제한된 인력으로 더 많은 코드와 시스템, 오픈소스 구성요소를 점검하고, 기존 도구가 놓쳤던 복합 취약점이나 논리 취약점까지 분석 범위를 넓힐 수 있습니다. 반면 공격자 입장에서는 취약점 발견부터 공격 시나리오 구성, PoC 작성, 우회 기법 탐색까지의 시간이 단축되어 기존의 정기 점검 체계만으로는 대응이 어려워질 수 있습니다. 결국 AI 시대의 보안 경쟁은 ‘누가 취약점을 먼저 발견하는가’를 넘어 ‘누가 더 빠르게 검증하고 조치하는가’의 경쟁으로 전환되고 있습니다.

 

Q3. AI 시대에 소프트웨어 공급망 보안이 중요해지는 이유는 무엇인가요?

현대 기업 시스템은 자체 개발 코드 외에도 오픈소스 라이브러리, 외부 솔루션, 클라우드 서비스, SaaS, API, 컨테이너 이미지 등 다양한 외부 구성요소로 복합적으로 연결되어 있습니다. AI 기반 취약점 탐지가 확산되면 공격자는 널리 사용되는 오픈소스 구성요소와 공통 라이브러리의 취약점을 더 빠르게 찾고 악용할 수 있습니다. 이에 따라 소프트웨어 자재명세서(SBOM) 관리, 오픈소스 취약점 모니터링, 서드파티 리스크 관리, 패치 이력 관리를 보안 운영의 핵심으로 내재화하는 것이 필수적입니다.

 

Q4. DevSecOps 내재화란 구체적으로 무엇을 의미하나요?

DevSecOps 내재화는 보안을 개발 완료 이후 점검하는 사후 활동이 아니라, 기획·설계·개발·테스트·배포·운영 전 과정에 보안 요구사항을 통합하는 것을 의미합니다. NIST SSDF와 CISA Secure by Design 기준에서도 이러한 ‘Shift Left’ 접근을 강조합니다. 특히 다수의 외주 개발사와 벤더사가 참여하는 환경에서는 개별 프로젝트별 보안 점검만으로는 한계가 있으며, 보안 요구사항·개발보안 점검·오픈소스 사용 승인·취약점 조치 현황을 통합 관리하는 보안 PMO 거버넌스가 선행되어야 합니다.

 

Q5. 기업이 AI 보안 변화에 대응하기 위해 지금 당장 해야 할 일은 무엇인가요?

네 가지 영역에서 단계적 준비가 필요합니다. 첫째, 주요 시스템에 대해 AI 기반 취약점 진단 활용 가능성을 검토하고 기존 정적·동적 분석 체계와 접목해 탐지 범위를 확대해야 합니다. 둘째, SBOM, 오픈소스 취약점 모니터링, 패치 이력 관리 등 소프트웨어 공급망 보안 체계를 강화해야 합니다. 셋째, AI 탐지 결과를 비즈니스 리스크 관점에서 해석하고 담당 조직·조치 기한·예외 승인 기준을 명확히 하는 취약점 대응 프로세스를 마련해야 합니다. 넷째, 보안 조직이 단순 탐지자를 넘어 개발·인프라·운영 조직의 실행을 조율하는 보안 PMO 역할을 수행할 수 있도록 거버넌스를 정립해야 합니다.

 

---

 

AX 컨설팅부터 비즈니스 모델 발굴까지
Global Top 10 AX Service Company｜SK AX

#AI보안 #사이버보안 #취약점관리 #ProjectGlasswing #DevSecOps #소프트웨어공급망보안 #SBOM #SecureByDesign #보안거버넌스 #보안PMO