Anthropic Claude Mythos — 보안 특화 모델·Project Glasswing

Anthropic이 사이버보안 취약점 자동 발견에 특화된 새 모델 Claude Mythos를 발표하고, 일반 공개 대신 Project Glasswing으로 제한 배포 중입니다. Mozilla Firefox에서 단일 평가로 271건의 취약점이 패치됐고, 미국 NSA가 분류된 망에서 평가 운영을 시작했다는 보도까지 이어지고 있습니다.

한눈에 보기

• Claude Mythos — 보안 취약점 자동 발견에 특화된 Anthropic의 신규 프론티어 모델

• Project Glasswing — 일반 공개 대신 핵심 인프라 기업에 제한 배포하는 협력 프로그램

• Firefox 271건 취약점 발견·패치 (버전 150에서 적용)

• NSA가 기밀 네트워크에서 Mythos Preview 운영 중이라는 보도

• Anthropic CEO Dario Amodei, 백악관에서 비서실장·재무장관과 회동 (4/17)

1. 무엇이 발표됐나

Anthropic은 자사의 신규 모델 Claude Mythos를 공개하면서, "일반 출시는 하지 않고" 핵심 인프라·보안 기업에만 제한 배포하는 Project Glasswing 프로그램을 함께 발표했습니다. Project Glasswing의 공식 페이지(anthropic.com/glasswing)에 따르면 협력사 명단에는 AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia, Palo Alto Networks 등이 포함돼 있습니다.

가장 주목받은 사례는 Mozilla Firefox입니다. Mozilla는 Mythos Preview를 활용한 단일 평가에서 발견된 271건의 취약점을 Firefox 버전 150에 한꺼번에 패치했다고 밝혔습니다. SecurityWeek과 Engadget·Decrypt 등이 동일하게 271건을 보도했습니다.

2. 핵심 내용

• 모델 성격 — Claude Mythos는 소프트웨어의 약점·보안 결함을 자동 식별하는 데 특화된 모델입니다. Anthropic은 "수천 건의 제로데이 취약점을 자율적으로 발견할 수 있다"고 자체 평가하고 있습니다.

• 출시 정책 — 공개 출시는 하지 않고, 선별된 협력사에만 제한 제공하는 형태입니다. Project Glasswing이 그 채널입니다.

• 외부 평가 — 영국 AI Security Institute가 Mythos를 평가한 결과, "The Last Ones" 라는 32단계 기업망 공격 시뮬레이션을 자율적으로 완수한 사례가 10번 시도 중 3번 발생했다고 보고됐습니다. Mythos는 다단계 네트워크 공격을 자율 수행할 수 있는 수준으로 평가받고 있습니다.

• NSA 운영 — Decrypt 등은 NSA가 기밀 네트워크 환경에서 Claude Mythos Preview를 평가·운영 중이라고 보도했습니다. Anthropic과 펜타곤 간에는 별도의 긴장 관계가 보도된 바 있어 동시 진행 형태로 해석됩니다.

• 보안 사고 — Glasswing 발표 당일, 제3자 공급자 환경에서 Mythos Preview URL을 추측해 무단 접근한 사건이 발생했다고 Anthropic이 밝히고 조사 중입니다.

3. 시장·산업 의미

• AI 보안 패러다임 전환 — 한 모델이 단일 평가로 271건의 Firefox 취약점을 찾아내는 것은 자동화된 코드 감사가 정밀도·확장성에서 인간 보안 연구자를 능가하기 시작했다는 신호로 해석됩니다.

• 이중 용도(dual-use) 문제 본격화 — 동일한 능력이 공격용으로 쓰일 수 있다는 점은 Anthropic이 일반 공개를 거부한 이유입니다. CNBC 보도에 따르면 Dario Amodei는 "우리는 위험의 순간(moment of danger)에 있다" 고 표현했습니다.

• 정부 평가 가속화 — 5월 5일 CAISI가 Google·Microsoft·xAI와 사전 평가 협약을 체결한 직접적 계기로 Mythos가 지목되고 있습니다(A-13 참조). 정부 평가 체계가 모델 단위로 본격 가동 단계에 진입했습니다.

• 백악관·Anthropic 관계 변화 — 4월 17일 Dario Amodei가 백악관 비서실장 Susie Wiles, 재무장관 Scott Bessent 등과 회동한 사실은 양측 관계가 일부 해빙되는 분기점으로 해석됐습니다. Trump 행정부가 Anthropic을 블랙리스트에 올린 지 두 달이 안 된 시점이었기 때문입니다.

4. 한국 시장 관점

• 금융·통신·전력 보안팀 — Firefox 사례는 한국 대형 사이트·앱에서 운용 중인 자체 브라우저 엔진·SDK에도 그대로 적용될 수 있는 패턴입니다. Mythos 같은 자동 감사 결과를 벤더에서 받을 수 있는지 미리 협의해두는 것이 의미가 있습니다.

• 공격면 변화 — Mythos가 외부에 일반 공개되지 않더라도, 유사 능력의 오픈소스·중국 모델이 뒤따를 가능성이 큽니다. 보안 운영팀은 AI 기반 취약점 스캔 가속을 전제로 패치 사이클을 재설계할 필요가 있습니다.

• 공급망 점검 — Project Glasswing 협력사 명단에는 Google·Cisco·Palo Alto·CrowdStrike 등 한국 기업 인프라에 광범위하게 쓰이는 벤더가 포함돼 있습니다. 향후 보안 권고·패치 빈도가 늘어날 가능성에 대비해 운영 윈도우를 미리 조정하시는 것이 좋습니다.

• 국내 도입 한계 — Mythos는 공개되지 않으므로, 한국 기업이 일반 API로 접근하기는 어렵습니다. 대안으로 Anthropic·OpenAI의 일반 모델 + 보안 특화 워크플로우를 조합하는 형태가 현실적입니다.

마무리

Claude Mythos는 단일 모델 발표를 넘어 AI 보안 거버넌스 전반에 영향을 준 사건입니다. Firefox 271건 패치, NSA 운영 보도, 백악관 회동, CAISI 사전 평가 협약으로 이어지는 흐름은 향후 1~2년간 글로벌 AI 정책의 큰 축이 될 가능성이 큽니다. 한국 기업도 자사 보안 운영을 AI가 양쪽(공격·방어)에 빠르게 들어온다는 가정 아래 재점검하실 것을 권합니다.

출처

• SecurityWeek — Claude Mythos Finds 271 Firefox Vulnerabilities

• Engadget — Mozilla says it patched 271 Firefox vulnerabilities thanks to Anthropic's Claude Mythos

• Anthropic — Project Glasswing

• CNBC — Anthropic CEO warns 'moment of danger' as Mythos exposes vulnerabilities

• Washington Post — Anthropic CEO visits White House amid hacking fears over new AI model

• Decrypt — NSA Is Using Anthropic's Powerful Claude Mythos AI

본문은 2026년 5월 13일 기준 공개 자료를 토대로 작성되었습니다. Project Glasswing 협력사·평가 결과는 변경되므로 도입 전 Anthropic 공식 페이지를 확인하시기 바랍니다.