Anthropic Glasswing 확대, 보안 병목은 패치 운영으로

Anthropic은 2026년 6월 2일 Project Glasswing을 15개국 이상 약 150개 조직으로 확대한다고 발표했다. 전력, 수도, 의료, 통신, 하드웨어처럼 사회 기반시설과 연결된 조직이 포함된다. ALTOS LAB이 보는 핵심은 AI가 취약점을 더 빨리 찾는다는 사실보다, 기업이 그 취약점을 검증하고 공개하고 패치까지 배포할 workflow를 갖췄는지다.

무엇이 달라졌나: Glasswing이 핵심 인프라로 확장

Project Glasswing은 AWS, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks 등이 참여한 방어형 보안 협력에서 출발했다. 이번 확대는 많은 조직이 의존하는 코드베이스를 유지하는 기업과 비영리 조직까지 범위를 넓힌다.

Anthropic은 일부 파트너의 코드베이스가 큰 공격을 받으면 1억 명 이상에게 영향을 줄 수 있다고 설명했다. 이는 단순한 제품 업데이트가 아니라 방어형 AI가 실제 운영 인프라에 들어가는 시장 신호이며, 실험 단계를 넘어 조직의 운영 기준을 다시 쓰게 만드는 변화다.

Risk framework: 탐지 이후의 운영이 더 어려워진다

5월 22일 초기 업데이트에 따르면 약 50개 초기 파트너는 1만 건 이상의 high 또는 critical 취약점을 발견했다. 하지만 발견이 빨라질수록 기업의 병목은 triage, 검증, 책임 있는 공개, 패치 소유자 지정, 배포 증적으로 이동한다.

AI 보안 접근을 넓히기 전에 패치 운영부터 고쳐야 한다. 이것이 ALTOS LAB의 판단이다. 운영 설계 없이 탐지 능력만 키우면 해결되지 않은 위험 backlog가 커진다.

48시간 checklist

• 취약점 보고부터 패치 배포까지 모든 승인 단계를 그리고, 가장 오래 멈추는 지점을 별도로 표시한다.
• high severity 발견의 우선순위 책임자를 정한다.
• 최근 10개의 중요한 보안 수정을 되짚어 부서 간 인계에서 멈춘 이유를 확인한다.
• 어떤 발견은 사람이 검토하고, 어떤 발견은 자동 수정 일정에 넣고, 어떤 발견은 고객 공지가 필요한지 기준을 나눈다.

다음에 볼 것

앞으로 볼 것은 도구가 취약점을 더 많이 찾는지뿐만이 아니다. Project Glasswing 같은 프로그램이 검증, 공개, 패치 배포를 반복 가능한 운영 모델로 만들 수 있는지가 더 중요하다. 한국과 대만 팀도 새 도구 도입 전에 책임자, 우선순위, 배포 증적을 먼저 점검해야 한다.