[김덕우의 생활 속 AI] AI 막는 AI… ‘프로젝트 글라스윙’ 사이버 보안 판도 뒤흔들다

앤트로픽이 개발 중인 AI ‘미토스’
시스템 취약점 찾아내 악용 가능
해커 공격 땐 전 세계 엄청난 재앙
공개 미루고 방어 프로젝트만 운용

소프트웨어 취약점 발견하는 능력
일반 학습 과정에서 발현돼 ‘충격’
AI모델들이 습득하는 건 시간문제
미래의 파국 막기 위해 힘 모아야

2026년 들어 미국 증시에서 소프트웨어 관련주는 두 번이나 급락했다. 2월 3일 첫 번째 급락은 앤트로픽이 ‘클로드 리걸 플러그인(Claude Legal Plugin)’을 발표한 것이 이유였다. ‘클로드 코워크(Claude Cowork)’ 내에서 실행되는 이 법률 특화 확장툴은 법률 전문가들이 수행하는 복잡한 작업을 AI가 대신하도록 만든 것으로 향후 영업, 마케팅, 데이터 분석 같은 다른 고부가가치 업무까지 AI가 대신할 수 있다는 공포를 확산시켰다. 투자자들은 이때 AI가 소프트웨어 기업들이 팔아온 기능 자체를 대체할 수 있다는 사실을 깨달은 듯했다. 모든 소프트웨어 주식이 떨어진 가운데 법률서비스를 제공하던 톰슨 로이터의 주식은 이날만 18% 빠졌다.

4월 9일의 두 번째 급락은 앤트로픽의 ‘프로젝트 글라스윙(Glass Wing)’의 발표가 이유였다. 로이터는 기사에서 이날의 급락을 ‘AI의 발전에 따른 소프트웨어 산업에 대한 우려가 다시 전면에 나왔다’고 설명했는데 당일 S&P500 소프트웨어·서비스 지수는 2026년 들어 25.5% 하락한 상태에서 다시 2.6% 하락했다.

숫자는 더 노골적이다. 2025년 12월 31일과 2026년 4월 10일 종가를 비교하면 세일즈포스는 264.91달러에서 164.96달러로 37.8% 떨어졌고, 서비스나우는 153.19달러에서 83.00달러로 46.1%, 어도비는 349.99달러에서 225.35달러로 35.6% 내렸다. 같은 기간 S&P500지수는 이란 전쟁 여파에도 연초 6845.50에서 6816.89로 0.4% 내리는 데 그쳤다. AI의 봄이 소프트웨어 산업의 겨울을 몰고 온 것이다.

그럼 도대체 ‘프로젝트 글라스윙’은 어떤 내용을 담고 있었기에 이렇게 시장에 큰 충격을 주었을까. 앤트로픽은 ‘프로젝트 글라스윙은 아마존, 애플, 구글, MS, 엔비디아 등이 함께하는 새로운 이니셔티브이며, 사이버 보안의 판도를 바꿀 수 있을 것’이라고 밝혔는데 그다음 내용이 문제였다.

앤트로픽은 “개발 중인 ‘클로드 미토스 프리뷰’(Claude Mythos Preview·이하 미토스)는 범용 미공개 첨단 AI 모델로, 소프트웨어 취약점을 찾아내고 악용하는 데 있어 가장 숙련된 인간을 제외한 모든 사람을 능가할 수 있는 코딩 능력을 갖추었고 주요 운영체제와 주요 웹브라우저에서 수천 건의 제로데이, 즉 아직 공개되지 않은 취약점을 찾아 이를 악용(exploit)할 수 있었다”고 밝히며 200쪽 넘는 미토스의 시스템카드도 함께 공개했다.

특히 앤트로픽은 발견된 취약점의 99% 이상은 아직 패치되지 않아 미토스를 공개할 수 없다고 밝히면서 검증은 아직 제한적이라고 인정했다. 그럼에도 시장과 미국 영국 한국 등 각국 정부는 민감하게 반응했다. 왜냐하면 인간 공격자가 이 모델을 이용해 시스템의 취약점을 찾아내고 악용 코드를 생성, 공격하는 것은 전 세계에 엄청난 재앙을 가져올 수 있기 때문이다. 앤트로픽이 미토스의 공개를 미루면서 세이프가드가 갖춰질 때까지 제한된 방어용 프로젝트만 운용하겠다고 밝힌 것도 그래서이다.

문제는 이와 같은 충격이 반복될 가능성이 매우 높다는 것이다. 이제 시장은 AI가 산업의 특정 도메인을 잠식하는 상황을 우려하고 있고 이것이 하나씩 현실화되고 있다. 2월의 충격이 ‘법률 도구’였다면 4월의 충격은 ‘보안과 시스템 소프트웨어’였다. 다음번에는 고객 지원, 회계, 세무, 규제 준수, 설계 자동화 같은 영역이 될 수 있다. 따라서 소프트웨어 업종 전체를 하나로 해석하는 시대는 끝나가고 있다. 단순한 구독으로 특정 기능을 제공하는 범용 SaaS나 소프트웨어는 가치가 낮아질 것이고, 반대로 AI를 통제하고 감시하는 소프트웨어나 하드웨어는 오히려 새로운 주목을 받을 수 있을 것이다.

소프트웨어업계가 먼저 흔들린 것은 우연이 아니다. 컴퓨터 프로그램 언어는 인간의 언어보다 문법도 엄격하고, 입출력의 옳고 그름을 기계적으로 검증하기 쉽다. 따라서 AI가 그 업계를 이처럼 빨리 장악해가는 것은 어쩌면 처음부터 예견된 일이었을지도 모른다. 그래서 이제 중요한 질문은 ‘AGI가 언제 오느냐’가 아니라 ‘언제 어떤 형식의 언어 세계가 무너지느냐’이다.

법률, 회계, 세무, 설계, 화학, 신약 탐색 등과 같은 규칙이 있고, 데이터가 축적되어 있으며, 결과를 검증할 수 있는 분야일수록 그만의 ‘미토스 순간’을 맞을 가능성이 크다. 결국 AI가 만드는 미래는 거대한 하나의 AGI 중심이 아니라 여러 분야로 전문화된 AI들이 각각의 영역에서 자리 잡는 형태로 먼저 올지 모른다.

중앙아메리카와 남아메리카 북부 지역에 서식하는 투명한 날개를 가진 나비인 ‘Greta oto’. 투명한 날개로 위장 능력이 뛰어난 나비인데, 영어 이름은 ‘글라스윙 버터플라이’(glasswing butterfly·유리날개나비)다. 앤트로픽은 눈에 잘 띄지 않게 숨어 있는 소프트웨어의 취약점을 찾아낸다는 의미로 AI 모델 ‘미토스’를 바탕으로 한 폐쇄형 보안 협력체계에 ‘프로젝트 글라스윙’이라는 이름을 붙였다. 위키피디아 캡처

앤트로픽에 따르면 프로젝트 글라스윙은 ‘유리날개나비(Greta Oto)’로부터 이름을 가져왔는데 은유적 의미가 있다고 한다. 투명한 날개는 나비가 숨어 지낼 수 있게 해 주는데 이는 이 프로젝트에서 논의된 취약성을 의미하고, 반면 나비가 위험을 피할 수 있게 해 준다는 측면에서는 프로젝트가 추구하는 투명성을 의미한다고 설명한다.

하지만 걱정이 앞선다. 앤트로픽은 이 능력은 특별히 개발된 것이 아니고 일반적인 학습 과정에서 발현된 것으로 보인다고 밝혔고, 컴퓨터 보안 전문가들은 취약점을 패치하여 보완하는 일은 매우 어렵고 시간이 필요한 일이라고 우려하고 있다. 결국 컴퓨터 시스템들이 모두 패치되기 전에 여러 AI 모델들이 저 막강한 능력을 가지는 것은 시간문제일 뿐으로 보인다. 그래서 프로젝트 글라스윙은 중요해 보인다. 브라질의 나비 날갯짓이 텍사스의 토네이도를 유발할 수도 있는 것처럼 이와 같은 전문가들의 협력이 AI가 초래할지 모르는 미래의 파국을 막을 수도 있다. 저 유리날개가 깨지지 않기를 기도해 본다.

티티테라 대표

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포 및 AI학습 이용 금지