27년 허점을 찾아낸 뮈토스가 46분 해킹은 막을 수 있을까
2026년 3월, 악성 패키지 하나가 46분 만에 AI 스타트업 수천 곳의 접속 정보를 빼갔다. 같은 달 앤트로픽의 클로드 뮈토스 프리뷰는 27년 동안 숨어 있던 오픈비에스디 보안 허점을 혼자 찾아냈다. 두 사건은 AI 보안의 서로 다른 두 전쟁터를 가리킨다. 글래스윙이 탁월한 영역과 닿지 못하는 영역은 어디인가.
레이 | 디지털 저널리스트 | awesome.ai.life@gmail.com | 2026년 4월 8일
숫자 두 개가 같은 시간대에 떠 있다
46분. 2026년 3월, 악성 코드를 담은 소프트웨어 패키지가 공개 저장소에 올라와 내려오기까지 걸린 시간이다. 그 46분 동안 약 47,000번의 다운로드가 일어났다. 분당 1,021번. 다운로드한 기업들은 자신이 무엇을 받았는지 몰랐다. AI 스타트업 머코어(Mercor)의 내부 데이터 4TB가 이 경로로 빠져나갔다. 이런 방식을 공급망 공격이라고 부른다.
27년. 2026년 4월 앤트로픽(Anthropic)이 발표한 프로젝트 글래스윙(Project Glasswing)의 핵심 AI 모델인 클로드 뮈토스 프리뷰(Claude Mythos Preview: Mythos는 고대 그리스어 발음 기준)가 오픈비에스디(OpenBSD) 운영 체제에서 찾아낸 보안 허점이 존재해온 시간이다. 전 세계 보안 전문가들이 수십 년 동안 들여다봤고 자동화 점검 도구가 수백만 번을 통과했지만 아무도 잡지 못한 허점을 AI가 찾아낸 것이다.
공급망 공격은 소프트웨어 자체의 결함을 뚫는 대신, 그 소프트웨어를 배포하는 유통 경로(패키지 저장소, 업데이트, 외부 의존성 등)에 악성 코드를 끼워 넣어 피해를 확산시키는 해킹 방식이다. 반대로 프로젝트 글래스윙은 AI로 소프트웨어 내부 코드의 보안 허점을 찾아 미리 막겠다는 앤트로픽의 대규모 보안 프로젝트다.
46분과 27년. 두 숫자는 겉으로 다른 이야기처럼 보인다. 그러나 같은 질문을 해야 한다. AI 보안의 시대에 공격과 방어 중 어느 쪽이 먼저 자리를 잡을 것인가?
46분 해킹의 구조
머코어 사건은 어쩌다 걸린 해킹 사건이 아닌 AI 생태계 특유의 취약 구조가 만들어낸 필연에 가깝다.
공격자는 리트LLM(LiteLLM)이라는 소프트웨어 패키지에 악성 코드를 심었다. 리트LLM은 챗GPT, 클로드 같은 여러 AI 모델을 하나의 창구에서 통합 관리할 수 있게 해주는 도구다. AI 스타트업 개발자라면 거의 필수적으로 쓰는 것이다. 공격자는 이 패키지의 공식 저장소인 파이피아이(PyPI: 전 세계 개발자들이 소프트웨어 패키지를 올리고 내려받는 공개 저장소)에 악성 버전을 올렸다. 코드가 실행되면 클라우드 접속 인증 정보, 보안 키, 관리자 토큰이 자동으로 빠져나가도록 설계됐다. 프로그램을 직접 실행하지 않아도 불러오기만 해도 작동했다.
여기서 AI 생태계의 구조적 취약성이 드러났다. AI 스타트업들은 더 빨리 개발하기 위해 외부 패키지에 극도로 의존하며(이미 남들이 만든 바퀴가 있는데 굳이 바퀴를 만들려 하지마라는 주장), 상당수가 새 버전이 나오면 검토 없이 바로 받아 쓰는 자동 업데이트 관행을 유지한다. 공격자는 이 관행을 노렸다. 46분이면 충분했다.
머코어만 피해를 입은 것이 아니었다. 수천 개 기업의 클라우드 접속 정보가 함께 유출됐다. 피해 기업 상당수는 자신이 공격받았다는 사실조차 즉시 알지 못했다. 여기서 첫 번째 질문이 나온다. 글래스윙이 탐지하려는 것은 소프트웨어 내부의 허점이다. 그런데 머코어 사건에서 허점은 코드 안에 있지 않았다. 허점은 생태계의 관행 안에 있었다.
글래스윙이 탐지하는 것과 못 하는 것
클로드 뮈토스 프리뷰는 소프트웨어 코드 자체를 분석해 허점을 찾는다. 오픈비에스디의 27년 된 허점, 에프에프엠펙(FFmpeg: 유튜브, 넷플릭스 등 동영상 서비스에 널리 쓰이는 소프트웨어)의 16년 된 허점이 그 방식으로 발견됐다. 코드를 읽고 논리적 취약 지점을 식별하고 실제 공격이 가능한지 확인하는 것이다. 이 능력은 탁월하다. 인간 보안 전문가가 수십 년 동안 놓쳤던 것을 찾아냈다는 사실이 이를 증명한다.
그러나 머코어 사건의 공격 경로는 코드 내부의 논리적 오류가 아니었다. 악성 코드가 정상 패키지로 위장해 정상적인 유통 경로를 타고 들어왔다. 코드 자체는 의도대로 작동했다. 문제는 악의적 의도를 가진 코드가 신뢰할 수 있는 저장소에 올라왔다는 것이었다.
글래스윙 방식은 여기서 한계를 드러낸다. 코드 내부의 버그를 찾는 것과, 신뢰할 수 있어 보이는 코드가 실제로 신뢰할 수 있는지를 확인하는 것은 다른 문제다. 뮈토스 프리뷰가 아무리 뛰어나도 공급망 전체의 신뢰 구조를 보장할 수는 없다.
46분 동안 47,000번의 다운로드를 막을 수 있는 것은 무엇인가. 답은 코드 분석 AI가 아니다. 패키지 저장소의 실시간 이상 탐지 시스템, 자동 업데이트 관행에 대한 재검토, 그리고 AI 생태계 전반의 공급망 보안 기준이다. 글래스윙은 이 중 어느 것도 직접 다루지 않는다.
그렇다면 글래스윙은 무엇을 하는가
앤트로픽은 글래스윙을 통해 오픈비에스디, 에프에프엠펙, 리눅스 커널(Linux kernel: 구글, 아마존, 네이버가 쓰는 서버 대부분의 핵심 토대가 되는 소프트웨어)의 장기 잠복 허점들을 찾아내고 수정까지 완료했다. 이 허점들은 지금 이 순간에도 공격자가 활용할 수 있었다. 글래스윙은 그 기회를 닫았다.
머코어 사건에 서 본 공급망 공격과 뮈토스가 찾아 낸 코드 내부 허점은 공격의 서로 다른 두 측면이다. 하나를 막는다고 다른 하나가 자동으로 막히지 않는다. 그렇다고 하나만 막지 말라는 건 아니다. 비유를 들면 이렇다. 건물 벽 안에 오래된 균열이 있다. 누군가 그것을 찾아내고 보강했다. 그런데 같은 날 건물 경비원이 신분증을 위조한 침입자에게 문을 열어줬다. 균열 보강이 의미 없는 일이었는가. 아니다. 두 허점은 서로 다른 측면에 있다. 둘 다 막아야 한다.
글래스윙의 진짜 가치는 지금 당장 눈에 보이는 성과보다 장기적인 지형 변화에 있다. 수십 년 동안 쌓여온 코드 부채, 즉 오래됐지만 아무도 손대지 못한 허점들을 AI가 체계적으로 찾아 수정하는 것이 가능해진다면, 공격자가 활용할 수 있는 표면 자체가 줄어든다. 이것은 단일 사건 대응이 아니라 인프라 전반의 체질 개선이다.
방어자 우위 논제, 다시 보기
내가 에이릿(ailit)에서 글래스윙을 소개한 기사는 이 질문을 열어뒀다. 방어 AI가 공격 AI보다 빠를 수 있는가.
머코어 사건은 공격자가 AI를 쓰는 방식이 반드시 코드 분석에 국한되지 않는다는 걸 알려줬다. 머코어 사건의 공격자는 AI를 이용해 정교한 허점을 찾은 것이 아니었다. 단순하지만 확장성 있는 공급망 공격을 실행했다. 공격의 효율성은 기술의 정교함이 아니라 생태계의 관행에서 나왔다.
즉, ‘방어 AI가 공격 AI보다 빠르다’는 논제는 한 가지 기술만 잘 만들면 끝나는 문제가 아니라는 뜻이다. 코드 분석에서 방어가 앞서도, 공격은 공급망처럼 다른 길로 우회할 수 있다. 글래스윙이 코드 분석에서 공격자를 앞선다 해도, 공격자는 코드 밖에서 다른 경로를 찾는다. 기술의 경쟁이 아니라 경로의 경쟁이다.
앤트로픽도 이 긴장을 인식하고 있다. 포춘(Fortune) 보도에 따르면 앤트로픽은 내부적으로 "뮈토스 프리뷰가 올해 대규모 사이버 공격을 훨씬 쉽게 만든다"고 판단하고 미국 정부에 경고했다. 방어 도구와 공격 위협의 원천이 같은 모델이다. 같은 회사가 이 양면을 동시에 쥐고 있다.
이것은 기술 문제가 아니라 구조 문제다. 앤트로픽이 아무리 선의를 가졌다 해도, 뮈토스 수준의 모델이 다른 경로로 공격자에게 도달하지 않는다는 보장은 없다. 그리고 그 시점이 되면 글래스윙이 쌓아온 방어 체계가 얼마나 버틸 수 있는지는 아직 아무도 모른다.
두 숫자가 가리키는 것
27년은 오래된 코드 부채의 시간이다. 아무도 들여다보지 않았거나, 들여다봤지만 찾지 못했던 허점들. 글래스윙은 이 측면에서 작동한다. 그리고 이 측면에서 글래스윙의 성과는 실재한다. 한편 46분은 생태계의 신뢰 구조가 무너지는 속도다. 코드 내부가 아니라 코드 바깥, 유통 경로와 관행의 측면에서 벌어지는 공격. 글래스윙은 이 측면에 직접 닿지 않는다.
두 측면은 동시에 관리되어야 한다. 그런데 지금 우리가 가진 것은 한 측면에서 작동하는 강력한 도구 하나다. 나머지 측면은 여전히 인간의 관행, 제도, 신뢰 체계에 맡겨져 있다.
유리날개나비는 투명해서 숨는다. 그러나 나비가 투명해진다고 포식자가 사라지는 것은 아니다. 포식자도 같은 숲속에서 다른 방법을 찾는 중이다. / raylogue
FAQ
Q1. 공급망 공격이란 무엇인가?
소프트웨어를 직접 해킹하는 대신, 그 소프트웨어를 만드는 데 쓰이는 부품, 즉 외부 패키지나 도구에 악성 코드를 심는 방식이다. 완성된 자동차를 부수는 대신 부품 공장에서 불량품을 끼워 넣는 것과 같다. 머코어 사건이 대표적인 사례다. 리트LLM이라는 외부 패키지에 악성 코드가 심어졌고, 이를 자동으로 내려받은 수천 개 기업이 한꺼번에 피해를 입었다. 최종 소프트웨어의 코드 자체는 멀쩡해 보이기 때문에 탐지가 어렵다는 것이 이 공격 방식의 핵심 위험이다.
Q2. 글래스윙은 공급망 공격을 막을 수 있는가?
직접적으로는 막기 어렵다. 글래스윙의 AI 모델인 클로드 뮈토스 프리뷰는 소프트웨어 코드 내부의 논리적 허점을 찾는 데 특화돼 있다. 공급망 공격은 코드 내부의 문제가 아니라 신뢰할 수 있어 보이는 외부 경로를 통해 들어오는 공격이다. 이 둘은 서로 다른 문제다. 공급망 공격을 막으려면 패키지 저장소의 실시간 이상 탐지, 자동 업데이트 관행 재검토 같은 별도의 접근이 필요하다. 글래스윙이 쓸모없다는 뜻이 아니다. 글래스윙이 막는 것과 머코어 사건이 보여주는 것은 서로 다른 측면의 문제다.
Q3. 방어자 우위란 무엇이고 앤트로픽의 주장은 타당한가?
방어자 우위란 AI가 공격에 쓰이는 속도보다 방어에 쓰이는 속도가 더 빠를 수 있다는 논제다. 앤트로픽은 글래스윙이 그 격차를 방어 쪽으로 유지하는 시도라고 주장한다. 코드 내부 허점 탐지라는 측면에서는 설득력이 있다. 27년 된 허점을 실제로 찾아내고 수정까지 완료했다는 사실이 근거다. 그러나 머코어 사건이 보여주듯 공격자는 코드 분석 경쟁을 우회해 공급망 같은 다른 경로를 찾는다. 방어자 우위 논제는 코드 내부에서는 성립할 수 있지만, 공급망이나 사람을 직접 속여 정보를 빼내는 방식 같은 영역에서는 별도로 검증이 필요하다.
Q4. 앤트로픽이 스스로 정부에 위험을 경고했다는 것은 무슨 의미인가?
포춘 보도에 따르면 앤트로픽은 뮈토스 프리뷰가 올해 대규모 사이버 공격을 훨씬 쉽게 만들 수 있다고 내부적으로 판단하고 미국 정부에 경고했다. 방어 도구로 공개한 모델이 동시에 공격의 위험도 키운다는 것을 회사 스스로 인정한 셈이다. 이것은 앤트로픽이 무책임하다는 뜻이 아니다. 같은 기술이 방어와 공격 양쪽에 모두 쓰일 수 있다는 현실을 회사가 직시하고 있다는 뜻이다. 그러나 이 위험이 실제로 어떻게 관리될지는 아직 모르는 일이다.
Q5. 한국 기업이나 이용자는 이 상황에서 무엇을 준비해야 하는가?
두 가지 측면에서 접근해야 한다. 코드 내부 허점 측면에서는 글래스윙 같은 AI 보안 도구의 동향을 주시하고, 자사 소프트웨어의 장기 잠복 허점 점검 체계를 갖추는 것이 필요하다. 공급망 측면에서는 머코어 사건이 직접적인 교훈이다. 외부 패키지를 자동 업데이트로 무조건 받아쓰는 관행을 재검토하고, 패키지의 출처와 변경 이력을 확인하는 절차를 도입해야 한다. [사실] 프로젝트 글래스윙의 파트너 12개 기관 목록에 한국 기업은 없다. 이 방어 체계의 수혜를 받으려면 결국 미국 클라우드 인프라를 경유해야 한다는 점도 중장기적으로 짚어볼 문제다.
