앤트로픽 ‘프로젝트 글래스윙’ 통해 검증 완료된 1596건 중 27개 주요 결함 공개
벤더 패치율 6.1% 불과... 금융당국 전 금융권 대상 긴급 자산 점검 권고
[보안뉴스 조재호 기자] 앤트로픽이 자사 AI 모델 미토스를 활용해 찾아낸 대규모 오픈소스 취약점을 공개함에 따라 금융당국이 금융권에 신속한 자산 점검과 실무적 방어 조치를 촉구했다.
금융보안원은 27일 ‘앤트로픽 글래스윙 취약점 공개 관련 위협 분석’ 보고서를 통해 미토스가 발견한 주요 취약점 정보를 공유하고 선제적 대응을 주문했다. 금융감독원도 금융사에 공문을 보내 오픈소스 점검 및 최신 보안 패치 적용 등을 권고했다.
앞서 앤트로픽은 23일(현지시간) 소수 파트너 기업 및 기관에 미토스 프리뷰를 제공하는 ‘프로젝트 글래스윙’을 추진하며 식별한 취약점을 정리, ‘주요 취약점 이력’(CVD Ledger)을 공개했다.
▲앤트로픽 CVD 대시보드의 취약점 후보군 통계 [출처: 앤트로픽]
2만3019개, 클로드 미토스가 찾은 결함 후보군
이번에 공개된 취약점은 엔트로픽 차세대 AI 모델 ‘클로드 미토스 프리뷰’(Claude Mythos Preview)가 1000개 이상의 오픈소스를 스캔해 찾아낸 2만3019개의 결함 후보군에서 추려낸 결과다. 이들 후보군에서 1900건에 대해 외부 전문가들이 검증을 진행, 1726건이 실제 취약점으로 확정됐다.
이중 1596건이 제조사에 공식 전달됐다. 하지만 현재 패치가 완료된 취약점은 97건에 불과하다. 이중 27개의 주요 취약점 정보가 이번에 우선 공개됐다.
취약점 중 28.9%인 462건은 힙 버퍼 오버플로우(heap/stack-buffer-overflow) 등 치명적 메모리 안전성 결함이었다. 인증 우회 및 권한 상승 등 접근제어 취약점도 270건(16.9%)로 나타나 기술적 위험도가 높은 것으로 분석됐다.
WebDAV 모듈 등 금융권 핵심 자산에서 취약점 나와
금융보안원은 공개된 취약점 중 국내 금융 서비스에 당장 큰 영향을 미칠 만한 것은 없는 것으로 판단했다. 하지만 운영 환경을 면밀히 검토해 취약한 제품을 사용할 경우 신속히 패치하라고 권고했다.
공개된 취약점엔 국내외 인프라에 널리 쓰이는 핵심 모듈의 치명적 결함이 다수 포함됐다. 고성능 웹서버에 쓰이는 ‘nginx’의 경우 WebDAV 모듈에서 alias 지시문을 사용할 때 짧은 Destination 요청으로 인해 인증되지 않은 상태에서 원격 파일 쓰기를 유발할 수 있는 취약점(CVE-2026-27654)이 확인됐다. 다만 이 취약점은 WebDAV 모듈이 활성화된 경우에만 영향을 미치므로 자사 인프라의 설정 상태를 우선 점검해야 한다.
또 IoT 기기용 경량 암호화 라이브러리 ‘wolfSSL’에서 verify_cb가 1을 반환할 때 X509 리프 인증서의 서명 검증을 건너뛰는 결함(CVE-2026-5501)이 발견됐다. 윈도우 원격 접속 클라이언트 ‘FreeRDP’에서는 클립보드 채널 검증 누락으로 인한 원격 코드 실행 취약점(CVE-2026-44420)이, Node.js 기반 블로깅 콘텐츠 관리 시스템(CMS) ‘고스트’(Ghost)에서는 인증 없이 데이터베이스의 민감 레코드를 탈취할 수 있는 SQL 인젝션 결함이 드러났다.
▲공개 취약점 상세 내역 [출처: 생성형 AI 이미지 활용]
기능 격리 및 자산 식별 중심 보안 패러다임 전환
이번 취약점 공개를 계기로 금융감독원은 금융사에 오픈소스 구성요소 사용 여부와 취약 버전 해당 여부를 점검할 것을 지시했다.
금융보안원은 소프트웨어 자재명세서(SBOM)를 통한 자산 식별이 선행돼야 한다고 강조했다. 국가 취약점 데이터베이스(NVD) 기준 연간 3만건 이상 쏟아지는 CVE에 일일이 대응하기 불가능하기 때문이다. 단순히 무엇을 쓰는가를 넘어 인터넷 노출 여부와 데이터 민감도 등 환경적 맥락을 파악해야 패치가 나오기 전이라도 기능 격리나 임시 우회 등 운영 환경에 맞는 조치 방안을 마련할 수 있다는 지적이다.
한 보안 전문가는 “AI를 통해 고작 15개의 오픈소스 프로젝트를 점검했음에도 주요 취약점이 대거 도출됐다는 사실은 지금까지 집단지성에 의존해 온 오픈소스 취약점 점검의 역사가 완전히 뒤바뀔 수 있음을 의미한다”며 “앞으로 오픈소스 생태계의 리스크는 기하급수적으로 높아질 것이며 개발자 및 운영자가 인지하지 못하는 제로데이 취약점이 끊임없이 발생해 생태계에 대혼란이 예상된다”고 우려했다.
[조재호 기자(zephyr@boannews.com)]
벤더 패치율 6.1% 불과... 금융당국 전 금융권 대상 긴급 자산 점검 권고
[보안뉴스 조재호 기자] 앤트로픽이 자사 AI 모델 미토스를 활용해 찾아낸 대규모 오픈소스 취약점을 공개함에 따라 금융당국이 금융권에 신속한 자산 점검과 실무적 방어 조치를 촉구했다.
금융보안원은 27일 ‘앤트로픽 글래스윙 취약점 공개 관련 위협 분석’ 보고서를 통해 미토스가 발견한 주요 취약점 정보를 공유하고 선제적 대응을 주문했다. 금융감독원도 금융사에 공문을 보내 오픈소스 점검 및 최신 보안 패치 적용 등을 권고했다.
앞서 앤트로픽은 23일(현지시간) 소수 파트너 기업 및 기관에 미토스 프리뷰를 제공하는 ‘프로젝트 글래스윙’을 추진하며 식별한 취약점을 정리, ‘주요 취약점 이력’(CVD Ledger)을 공개했다.
▲앤트로픽 CVD 대시보드의 취약점 후보군 통계 [출처: 앤트로픽]
2만3019개, 클로드 미토스가 찾은 결함 후보군
이번에 공개된 취약점은 엔트로픽 차세대 AI 모델 ‘클로드 미토스 프리뷰’(Claude Mythos Preview)가 1000개 이상의 오픈소스를 스캔해 찾아낸 2만3019개의 결함 후보군에서 추려낸 결과다. 이들 후보군에서 1900건에 대해 외부 전문가들이 검증을 진행, 1726건이 실제 취약점으로 확정됐다.
이중 1596건이 제조사에 공식 전달됐다. 하지만 현재 패치가 완료된 취약점은 97건에 불과하다. 이중 27개의 주요 취약점 정보가 이번에 우선 공개됐다.
취약점 중 28.9%인 462건은 힙 버퍼 오버플로우(heap/stack-buffer-overflow) 등 치명적 메모리 안전성 결함이었다. 인증 우회 및 권한 상승 등 접근제어 취약점도 270건(16.9%)로 나타나 기술적 위험도가 높은 것으로 분석됐다.
WebDAV 모듈 등 금융권 핵심 자산에서 취약점 나와
금융보안원은 공개된 취약점 중 국내 금융 서비스에 당장 큰 영향을 미칠 만한 것은 없는 것으로 판단했다. 하지만 운영 환경을 면밀히 검토해 취약한 제품을 사용할 경우 신속히 패치하라고 권고했다.
공개된 취약점엔 국내외 인프라에 널리 쓰이는 핵심 모듈의 치명적 결함이 다수 포함됐다. 고성능 웹서버에 쓰이는 ‘nginx’의 경우 WebDAV 모듈에서 alias 지시문을 사용할 때 짧은 Destination 요청으로 인해 인증되지 않은 상태에서 원격 파일 쓰기를 유발할 수 있는 취약점(CVE-2026-27654)이 확인됐다. 다만 이 취약점은 WebDAV 모듈이 활성화된 경우에만 영향을 미치므로 자사 인프라의 설정 상태를 우선 점검해야 한다.
또 IoT 기기용 경량 암호화 라이브러리 ‘wolfSSL’에서 verify_cb가 1을 반환할 때 X509 리프 인증서의 서명 검증을 건너뛰는 결함(CVE-2026-5501)이 발견됐다. 윈도우 원격 접속 클라이언트 ‘FreeRDP’에서는 클립보드 채널 검증 누락으로 인한 원격 코드 실행 취약점(CVE-2026-44420)이, Node.js 기반 블로깅 콘텐츠 관리 시스템(CMS) ‘고스트’(Ghost)에서는 인증 없이 데이터베이스의 민감 레코드를 탈취할 수 있는 SQL 인젝션 결함이 드러났다.
▲공개 취약점 상세 내역 [출처: 생성형 AI 이미지 활용]
기능 격리 및 자산 식별 중심 보안 패러다임 전환
이번 취약점 공개를 계기로 금융감독원은 금융사에 오픈소스 구성요소 사용 여부와 취약 버전 해당 여부를 점검할 것을 지시했다.
금융보안원은 소프트웨어 자재명세서(SBOM)를 통한 자산 식별이 선행돼야 한다고 강조했다. 국가 취약점 데이터베이스(NVD) 기준 연간 3만건 이상 쏟아지는 CVE에 일일이 대응하기 불가능하기 때문이다. 단순히 무엇을 쓰는가를 넘어 인터넷 노출 여부와 데이터 민감도 등 환경적 맥락을 파악해야 패치가 나오기 전이라도 기능 격리나 임시 우회 등 운영 환경에 맞는 조치 방안을 마련할 수 있다는 지적이다.
한 보안 전문가는 “AI를 통해 고작 15개의 오픈소스 프로젝트를 점검했음에도 주요 취약점이 대거 도출됐다는 사실은 지금까지 집단지성에 의존해 온 오픈소스 취약점 점검의 역사가 완전히 뒤바뀔 수 있음을 의미한다”며 “앞으로 오픈소스 생태계의 리스크는 기하급수적으로 높아질 것이며 개발자 및 운영자가 인지하지 못하는 제로데이 취약점이 끊임없이 발생해 생태계에 대혼란이 예상된다”고 우려했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
