Project Glasswing은 Anthropic이 2026년 4월 공개한 사이버보안 동맹 프로젝트입니다. 핵심에는 아직 일반에 풀리지 않은 프런티어 모델 Claude Mythos Preview가 있고, 이 모델은 이미 모든 주요 운영체제와 브라우저에서 수천 건의 제로데이 취약점을 자동으로 찾아냈습니다. 특히 17년간 잠들어 있던 FreeBSD 원격 코드 실행 취약점(CVE-2026-4747)을 사람의 개입 없이 발견하고 직접 익스플로잇까지 작성했다는 사실이 알려지며 보안 업계가 발칵 뒤집혔습니다. Apple, Google, Microsoft, NVIDIA, CrowdStrike 같은 빅테크와 JPMorgan Chase, 리눅스 재단까지 동맹에 합류한 이 프로젝트가 우리 일상과 한국 IT 산업에 어떤 의미를 갖는지, 핵심 포인트 5가지로 정리해 드립니다.
이 글의 목차
- Project Glasswing이란? 한눈에 보는 개요
- ① Claude Mythos Preview – 너무 강해서 공개를 멈춘 모델
- ② 17년 묵은 FreeBSD 제로데이 자동 발견 사건
- ③ Apple·Google·MS·NVIDIA – 빅테크 동맹의 의미
- ④ 1억 달러 크레딧 + 400만 달러 기부의 구조
- ⑤ 한국 보안 시장과 개발자가 받을 영향
- 핵심 정리
Project Glasswing이란? 한눈에 보는 개요
Project Glasswing은 Anthropic이 2026년 4월 공개한 ‘AI 시대의 핵심 소프트웨어 보안’ 이니셔티브입니다. 운영체제, 브라우저, 데이터센터, 결제 인프라처럼 수십억 명이 의존하는 기반 소프트웨어를 대상으로, 아직 일반에 공개되지 않은 프런티어 모델 Claude Mythos Preview를 동맹사 보안팀에 제공해 취약점을 미리 찾고 패치하도록 돕는 구조입니다. 한 마디로 ‘공격자가 AI를 무기화하기 전에, 방어자에게 같은 무기를 먼저 쥐여 주자’는 발상입니다.
출범 시점에 합류한 핵심 파트너만 12곳입니다. Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks가 1차 라인업이고, 여기에 핵심 인프라를 만들거나 유지보수하는 40개 이상의 추가 조직이 함께 들어갔습니다. 사실상 클라우드, 운영체제, 칩, 금융, 오픈소스 생태계 전체가 한 테이블에 앉은 셈입니다.
왜 이런 동맹이 필요했을까요. Mythos Preview는 사람의 도움 없이 코드를 읽고 취약점을 찾고 익스플로잇까지 작성할 수준에 도달했고, 이 능력이 잘못된 손에 들어가면 대규모 AI 사이버 공격이 폭증할 수 있다는 경고가 미국 정부 측에 비공식적으로 전달됐다는 보도까지 나왔습니다. 이 동맹은 그 위험을 통제하면서 방어 측에 먼저 활용 기회를 주려는 시도입니다.
① Claude Mythos Preview – 너무 강해서 공개를 멈춘 모델
일반 공개를 포기한 첫 프런티어 모델
Claude Mythos Preview는 Anthropic의 차세대 프런티어 모델로, 보안 분야에서 특히 강한 모습을 보입니다. Anthropic은 이 모델을 일반 공개하지 않겠다고 명시적으로 선언했습니다. 보통 새 모델은 ‘GA(General Availability)’를 목표로 출시되지만, Mythos Preview는 보안 능력이 너무 강력해 검증되지 않은 사용자에게 풀면 사회적 위험이 더 크다고 판단한 것입니다. 프런티어 AI 시장에서 자발적으로 ‘GA를 포기한’ 첫 사례로 기록될 가능성이 높습니다.
이미 발견된 수천 건의 제로데이
Anthropic이 공개한 자료에 따르면 Mythos Preview는 지난 몇 주 동안 모든 주요 운영체제와 모든 주요 웹 브라우저에서 수천 건의 제로데이 취약점을 발견했습니다. 단순히 알려진 패턴을 매칭하는 수준이 아니라, 사용자가 ‘이 코드베이스를 점검해 줘’라고 지시하면 자율적으로 코드 흐름을 추적하고, 가설을 세우고, 익스플로잇 가능성까지 검증한다는 점이 충격을 줬습니다.
보안 업계 매체들은 이를 ‘자율 공격 임계점(Autonomous Offensive Threshold)’을 넘은 첫 사례로 평가하고 있습니다. AI가 ‘취약점을 찾는다’에서 ‘취약점을 찾고 직접 공격한다’로 한 단계 올라간 것입니다. 향후 Claude Opus 4.7 같은 일반 모델에도 이 보안 분석 역량의 일부가 단계적으로 흡수될 가능성이 큽니다.
② 17년 묵은 FreeBSD 제로데이 자동 발견 사건
CVE-2026-4747 – FreeBSD NFS 서버 원격 코드 실행
Project Glasswing 발표에서 가장 화제가 된 것은 CVE-2026-4747입니다. FreeBSD의 NFS 서버에 17년 동안 잠들어 있던 원격 코드 실행 취약점으로, 인증되지 않은 임의의 인터넷 사용자가 root 권한을 획득할 수 있는 치명적 결함입니다. 기술적으로는 RPCSEC_GSS 인증 핸들러의 스택 버퍼 오버플로로, 128바이트 버퍼에 길이 검사가 400바이트까지 허용되도록 잘못 설정돼 있었습니다.
더 흥미로운 점은 발견 방식입니다. Mythos Preview는 한 번의 초기 프롬프트만 받은 뒤 사람의 추가 개입 없이 취약점 위치를 특정하고, ROP 가젯 20개로 구성된 익스플로잇 체인을 여러 패킷에 나눠 보내는 PoC까지 자동 작성했습니다. FreeBSD 보안팀은 2026년 3월 26일 FreeBSD-SA-26:08.rpcsec_gss 권고문과 함께 모든 지원 브랜치에 패치를 배포했습니다.
실무에 주는 메시지
VentureBeat는 이 사건을 ‘Mythos 탐지 천장‘이라 표현했습니다. 무수한 보안 연구자가 들여다본 코드베이스에서도 사람 눈이 닿지 못한 패턴을 AI가 단번에 잡아냈다는 의미입니다. 실무 메시지는 분명합니다. 첫째, 레거시 인프라 코드도 다시 한 번 AI 기반 정적 분석을 돌리세요. 둘째, NFS·RPC·인증 핸들러 같은 오래된 네트워크 데몬을 우선순위 점검 대상으로 올리세요. 셋째, 패치 적용 전이라면 접근 제어와 방화벽 룰을 임시 강화해 두는 것이 안전합니다.
③ Apple·Google·MS·NVIDIA – 빅테크 동맹의 의미
경쟁사도 한자리에 모인 이례적 동맹
Project Glasswing의 진짜 무게감은 파트너 명단에서 옵니다. Apple, Google, Microsoft처럼 평소 사이좋게 한 테이블에 앉지 않는 OS·플랫폼 빅3가 동시에 합류했고, 여기에 GPU 시장의 절대강자 NVIDIA, 클라우드 1위 AWS, 보안 솔루션의 CrowdStrike·Palo Alto Networks·Cisco, 금융권 대표 JPMorgan Chase, 오픈소스 생태계의 중심 Linux Foundation까지 들어왔습니다. AI 사이버 위협을 ‘공동의 인프라 문제’로 보고 있다는 신호입니다.
방어 측에 먼저 무기를 쥐여 주는 구조
파트너사들은 Mythos Preview에 우선 접근해 자사 핵심 시스템 취약점을 미리 발견·수정하고, 거기서 얻은 인사이트를 산업 전반에 공유합니다. CrowdStrike는 자체 블로그에서 ‘Mythos Preview로 일부 모듈의 취약점 사냥 자동화를 가속하고 있다’고 밝혔고, Mizuho 등 IB는 이번 발표를 AI 보안 수혜 모멘텀으로 재조명했습니다. Linux Foundation은 빅테크뿐 아니라 커널·컴파일러·웹서버 같은 오픈소스 핵심 프로젝트 메인테이너에게도 Mythos Preview 접근이 열린다고 별도로 발표했습니다.
④ 1억 달러 크레딧 + 400만 달러 기부의 구조
‘무료’가 아니라 ‘용도가 잠긴 크레딧’
Anthropic은 Project Glasswing에 최대 1억 달러 규모의 Mythos Preview 사용 크레딧을 출연한다고 밝혔습니다. 단, 이 크레딧은 마케팅용 무료 토큰이 아니라 ‘방어적 보안 작업’에만 쓸 수 있도록 용도가 묶여 있습니다. 동맹사들은 자체 코드, 인프라, 제품을 점검하는 데 이 크레딧을 사용하고, 발견한 취약점과 베스트 프랙티스를 공동 풀에 공유하는 구조입니다.
리서치 프리뷰 종료 후에는 입력 100만 토큰당 25달러, 출력 100만 토큰당 125달러 수준의 가격이 책정될 예정입니다. 일반 Claude Opus 4.7(입력 5달러, 출력 25달러) 대비 약 5배로, ‘취약점 자동 발견’ 작업의 시장 가치가 그만큼 높게 매겨진 셈입니다. 동시에 Anthropic은 400만 달러를 오픈소스 보안 단체에 직접 기부합니다. 이 중 250만 달러는 Linux Foundation 산하 Alpha-Omega·OpenSSF, 150만 달러는 Apache Software Foundation으로 흘러갑니다.
면책 안내
이 글에 언급된 보안 가격, 투자 정보, 종목 관련 코멘트는 정보 제공 목적이며 투자 자문이 아닙니다. 보안 도구 도입이나 종목 매매 결정은 반드시 사내 보안팀, 회계·세무 전문가, 자격을 갖춘 금융 전문가와 상담한 뒤 진행하시기 바랍니다.
⑤ 한국 보안 시장과 개발자가 받을 영향
국내 보안 SI·MSSP 업계의 게임 체인저
1차 파트너 명단에 한국 기업은 아직 없습니다. 그러나 Mythos급 모델이 표준화되면 국내 보안 SI·MSSP 업체도 ‘AI 기반 자동 취약점 진단’을 핵심 SKU로 편입할 수밖에 없습니다. 사람 중심 모의해킹·코드 리뷰는 단가가 유지되기 어렵고, 대신 AI 결과를 검증·재현하며 위험을 비즈니스 언어로 번역해 주는 ‘AI 보안 PM’ 역할이 빠르게 부상할 것입니다.
일반 개발자·중소기업 실무 가이드
Mythos Preview에 접근하지 못하는 개발자도 당장 할 일이 있습니다. 첫째, 의존성 라이브러리·OS 패키지를 최신으로 유지하세요. 둘째, 인증 핸들러·파일 업로드·역직렬화 같은 고위험 코드 경로는 Claude Opus 4.7이나 GitHub Copilot의 보안 리뷰 기능으로 정기 점검하세요. 셋째, 외부에 노출된 NFS·SMB·관리 콘솔 포트는 즉시 닫거나 VPN·Zero Trust로 감싸 주세요. 중장기적으로 보안 인력의 무게중심은 ‘직접 찾는 사람’에서 ‘AI 결과를 검증·우선순위화·대응 자동화로 연결하는 사람‘으로 옮겨갑니다.
핵심 정리
- Project Glasswing은 Anthropic이 2026년 4월 공개한 핵심 소프트웨어 보안 동맹으로, Claude Mythos Preview를 방어 측에 우선 제공하는 구조입니다.
- Claude Mythos Preview는 자율적으로 제로데이를 찾고 익스플로잇까지 작성하는 능력을 갖춰, Anthropic이 일반 공개를 보류한 첫 프런티어 모델입니다.
- CVE-2026-4747은 17년 묵은 FreeBSD NFS 서버 원격 코드 실행 취약점으로, Mythos가 사람의 개입 없이 단번에 발견·익스플로잇한 상징적 사례입니다.
- 1차 파트너는 AWS·Apple·Broadcom·Cisco·CrowdStrike·Google·JPMorgan Chase·Linux Foundation·Microsoft·NVIDIA·Palo Alto Networks 등 12곳입니다.
- Anthropic은 최대 1억 달러 사용 크레딧과 400만 달러 오픈소스 보안 기부를 약속했고, 정식 가격은 입력 100만 토큰당 25달러로 책정될 예정입니다.
함께 보면 좋은 글로는 Claude Opus 4.7 출시 2026: Anthropic 새 모델 핵심 업그레이드 5가지와 GPT-5.5 출시 2026: OpenAI 새 모델 핵심 업그레이드 5가지를 추천합니다. Mythos가 가져올 보안 변화와 일반 모델 흐름을 함께 보면 2026년 AI 시장의 큰 그림이 한 번에 정리됩니다.
지금이 사내 보안 패치와 의존성 점검을 다시 한 번 돌릴 타이밍입니다. AI는 더 이상 보조 도구가 아니라 공격과 방어의 1선에 들어왔습니다. 더 많은 AI·보안·테크 트렌드를 빠르게 받아보고 싶다면 NERD LOG 테크 트렌드 카테고리도 함께 구독해 주세요.