Glasswing 서클 밖에서: 내가 로컬 보안 CLI를 구축한 이유
요약
Anthropic의 Mythos 모델이 가진 강력한 사이버 보안 역량과 이를 활용한 Project Glasswing의 방어적 사례를 소개합니다. 저자는 대규모 인프라 조직에 국한되지 않고 일반 빌더들도 사용할 수 있는 로컬 보안 CLI 도구인 Carapace를 구축한 이유를 설명합니다.
핵심 포인트
- Anthropic의 Mythos는 강력한 사이버 보안 취약점 탐지 능력을 보유함
- Project Glasswing을 통해 주요 인프라 조직들이 선제적 방어에 활용 중
- 보안 역량의 격차를 줄이기 위해 일반 개발자를 위한 로컬 보안 CLI Carapace 개발
- AI의 공격적 오용 전, 강력한 방어적 사용이 선행되어야 함
어떤 AI 출시들은 무엇이 사용 가능해지는가에 의해 정의됩니다.
Claude Mythos Preview는 무엇이 사용 불가능한가에 의해 정의되었습니다.
Anthropic은 Mythos를 누구나 쉽게 사용할 수 있는 모델로 소개하지 않았습니다. 그들은 가장 숙련된 인간을 제외한 모든 사람보다 높은 수준에서 취약점을 찾아내고 악용할 수 있을 만큼 강력한 사이버 역량을 가진 모델을 설명했고, 이를 공개적으로 출시하지 않기로 결정했습니다.
이는 이례적인 종류의 제품 발표입니다.
흥미로운 점은 AI가 점점 강력해지고 있다는 사실이 아닙니다. 그것은 이미 알고 있는 사실입니다. 흥미로운 점은 배포(distribution)입니다. 누가 방어 역량을 먼저 부여받는가, 누가 나중에 받는가, 그리고 공격 역량이 계속 확산되는 동안 누가 서클(circle) 밖에 남겨지는가 하는 점입니다.
Carapace는 바로 그 질문에서 시작되었습니다.
이것은 코드를 읽고, 의심스러운 경로를 분류(triage)하며, 필요한 곳에서만 심층 분석(deep-dive)을 수행하고, 결과를 로컬에 기록하는 로컬 보안 CLI (Command Line Interface)입니다. 이것은 전문 보안 팀, 엔터프라이즈 플랫폼, 또는 인간의 판단을 대체하는 것이 아닙니다. 이는 특권적인 방어 프로그램 안에 있지 않은 팀, 유지 관리자(maintainers), 그리고 빌더(builders)들을 위한 작은 도구입니다.
나는 그 그룹이 중요해질 것이라고 생각하기 때문에 이것을 만들었습니다.
보호받는 서클
Project Glasswing은 위험한 역량에 대한 합리적인 대응입니다.
만약 모델이 심각한 취약점을 발견하고 악용하는 데 도움을 줄 수 있다면, 가장 안전한 첫 번째 사용법은 이를 핵심 인프라를 보호하는 방어자들의 손에 맡기는 것입니다.
Anthropic은 2026년 4월, 약 50개의 주요 인프라 조직과 함께 Project Glasswing을 시작했습니다. 초기 그룹에는 AWS, Apple, Google, Microsoft, NVIDIA, JPMorgan Chase, Cisco, CrowdStrike, Linux Foundation, Palo Alto Networks와 같은 이름들이 포함되었습니다.
6월 2일, Anthropic은 이 프로그램을 15개국 이상의 약 150개 조직으로 확장했습니다. 이 확장에는 전력, 용수, 의료, 통신 및 하드웨어와 같은 섹터가 포함되었습니다. 일부 보고에 따르면 결합된 규모는 약 200개 조직에 달합니다.
이것은 중요한 문제입니다.
이 프로그램은 단순히 이론적인 것에 그치지 않습니다. Glasswing 파트너들은 10,000개 이상의 높음(high) 및 심각(critical) 수준의 취약점을 발견한 것으로 보고되었습니다. Anthropic 또한 Mythos를 사용하여 1,000개 이상의 오픈 소스 프로젝트 (open source projects)를 스캔했으며, 6,202개의 높음 및 심각 수준의 발견 사항을 보고했습니다. 6개의 보안 연구 기업 (security research firms)에 의해 독립적으로 검토된 1,752개의 발견 사항 중 90% 이상이 실제 취약점으로 확인되었습니다.
보고된 한 가지 사례는 수십억 대의 장치에서 사용되는 암호화 라이브러리 (cryptographic library)인 wolfSSL이었습니다. Mythos는 가짜 사이트가 포함된 인증서 위조 (certificate forgery) 시나리오를 지원할 수 있는 취약점을 발견했습니다. 해당 이슈인 CVE-2026-5194는 수정되었습니다.
이것이 가장 먼저 수행해야 할 올바른 종류의 작업입니다.
만약 그 능력이 존재한다면, 핵심 인프라 (critical infrastructure)는 공격자가 그 능력을 갖게 될 때까지 기다려서는 안 됩니다. 가장 강력한 공격적 오용 (offensive misuse)이 발생하기 전에 가장 강력한 방어적 사용 (defensive use)이 이루어져야 합니다.
하지만 질문은 남아 있습니다.
그 서클 밖에 있는 모든 사람에게는 어떤 일이 일어날까요?
Fable은 공개되었으나, 곧 그렇지 않게 되었다
6월 9일, Anthropic은 추가적인 안전 계층 (safety layers)을 갖춘 공개적인 Mythos급 모델인 Claude Fable 5를 출시했습니다. 또한 Glasswing 및 인프라 제공업체를 위한 제한된 모델로 Mythos 5를 도입했습니다.
그것은 잠시나마 다른 모든 사람들을 위한 경로를 제시하는 듯했습니다.
하지만 Fable 5는 단순히 "대중을 위한 Mythos"가 아니었습니다. 보안 관련 워크플로 (workflows)에서 이는 매우 엄격하게 제한되었습니다. 정당한 코드 리뷰 (code review) 및 취약점 분석 (vulnerability analysis)이 차단되거나 Opus 4.8로 다시 라우팅될 수 있었습니다. 그 경계는 너무 광범위하다는 비판을 받았습니다.
그러던 중 6월 12일, 미국 상무부 (U.S. Commerce Department)는 BIS의 "Is Informed" 서신을 통해 ECRA에 따른 수출 통제 지침을 발행했습니다. 외국 국적자의 Fable 5 및 Mythos 5에 대한 접근이 중단되었습니다. Anthropic이 모든 고객의 국적을 확실하게 판단할 수 없었기 때문에, 두 모델 모두 전 세계적으로 비활성화되었습니다.
6월 26일 현재, 두 모델 모두 여전히 사용할 수 없습니다. 6월 25일, Anthropic의 한 직원은 Fable 5의 트래픽이 제로라고 공개적으로 말했습니다. 모델이 조용히 복구되었다는 보고들은 UI 버그 때문인 것으로 간주되었습니다.
협상이 진행 중입니다. 가능한 정책적 이정표들도 있습니다. 예측 시장 (prediction markets)도 존재합니다. 사이버 보안 리더들이 액세스 권한 복구를 요청하는 공개 서한도 있습니다.
하지만 그것들은 가용성 (availability)이 아닙니다.
저는 일본에 기반을 둔 사업가이자 크리에이터입니다. 이 구체적인 이야기에서, 그것은 제가 모델을 사용할 수 없는 쪽에 있다는 것을 의미합니다.
이것은 불평이 아닙니다. 설계상의 제약 (design constraint)입니다.
기업은 무방비 상태가 아니다
Glasswing 외부에는 아무런 선택지가 없다고 말하는 것은 틀린 말일 것입니다.
대규모 조직과 검증된 방어자 (defenders)들은 이미 실질적인 움직임을 얻고 있습니다. Anthropic은 범용 Claude 모델을 통해 보안 작업을 추진하고 있으며, Opus 4.8을 기반으로 한 Claude Security를 기업 고객을 대상으로 퍼블릭 베타 (public beta)로 제공하고 있습니다. 보고에 따르면, 이것이 3주 만에 2,100개 이상의 취약점 (vulnerabilities)을 수정하는 데 사용되었다고 합니다.
또한 오픈 소스 유지 관리자 (open source maintainers)들이 일부 보안 워크플로 (workflows)에서 우선순위 액세스 (prioritized access)를 신청할 수 있는 경로도 있습니다.
OpenAI는 자체적인 사이버를 위한 신뢰할 수 있는 액세스 (Trusted Access for Cyber) 프로그램을 운영하고 있습니다. 이들은 GPT-5.5-Cyber를 출시하고 검증된 방어자들에 대한 액세스를 확장했습니다. 신뢰할 수 있는 액세스가 적용된 GPT-5.5와 GPT-5.5-Cyber는 더 강력한 검증 및 계정 제어 하에 방어적 보안 작업 (defensive security work)을 위해 명시적으로 포지셔닝되어 있습니다.
따라서 핵심은 "기업은 아무것도 없다"가 아닙니다.
핵심은 더 좁습니다:
소규모 팀, 독립적인 빌더 (builders), 그리고 많은 오픈 소스 유지 관리자들에게 있어, 로컬에서 쉽게 실행할 수 있고, 개인 API 키로 결제하며, 취약점 도달 가능성 (vulnerability reachability)을 위해 특별히 설계된 선택지는 여전히 부족합니다.
그것이 바로 Carapace가 점유하려고 하는 영역입니다.
역량은 어쨌든 확산되고 있다
Anthropic은 다른 AI 기업들이 6개월에서 12개월 이내에 Mythos급 역량을 개발할 수 있으며, 그에 상응하는 강력한 오용 방지 안전장치 (misuse safeguards) 없이 이를 출시할 수도 있다고 경고했습니다.
그것은 더 이상 추상적으로 느껴지지 않습니다.
OpenAI는 이미 많은 신뢰할 수 있는 방어자들에게 GPT-5.5-Cyber를 출시했습니다. GPT-5.5 자체는 공공 기관에서 평가한 가장 강력한 사이버 역량 모델 중 하나입니다. Sakana AI는 어려운 엔지니어링, 과학 및 추론 벤치마크에서 프런티어 수준 (frontier-level)의 성능에 도달한 것으로 자리매김한 모델 오케스트레이션 (model-orchestration) 시스템인 Fugu Ultra를 발표했습니다.
저는 여기서 의도적으로 확인된 출시 사례와 프로그램만을 다루고 있습니다. 루머는 보안 계획의 기반이 될 수 없습니다.
확인된 패턴만으로도 충분합니다:
사이버 역량을 갖춘 AI는 단일 프런티어 연구소의 이야기를 넘어, 전문화된 모델, 신뢰 기반 액세스 프로그램 (trusted-access programs), 그리고 오케스트레이션 시스템 (orchestration systems)이라는 더 넓은 생태계로 이동하고 있습니다. 방어 측면은 조직화되고 있습니다. 공격 측면 또한 적응할 것입니다.
문제는 이것이 중요할 것인가가 아닙니다.
문제는 격차가 벌어지기 전에 소규모 시스템들이 준비할 방법을 가질 수 있느냐 하는 것입니다.
Carapace가 로컬인 이유
Carapace는 호스팅되는 스캐닝 서비스를 실행하지 않습니다.
로컬 (locally)에서 실행됩니다. 사용자의 기기에서 파일을 읽습니다. 스캔 결과를 로컬에 저장합니다. 사용자의 Anthropic API 키를 사용합니다. Carapace 서버를 통해 모델 호출을 프록시 (proxy) 하지 않으며, 토큰을 재판매하지도 않습니다.
그러한 설계는 단지 개인정보 보호 (privacy)만을 위한 것이 아닙니다. 비용과 신뢰에 관한 것이기도 합니다.
만약 제가 백엔드 프록시를 통해 모든 사람의 토큰 비용을 지불한다면, 최악의 결과는 오히려 성공이 될 것입니다. 즉, 모든 바이럴 급증이 곧 청구서가 될 것입니다. 소규모 팀을 위한 보안 도구는 도입이 유지 관리자에게 숨겨진 재정적 리스크를 초래하도록 설계되어서는 안 됩니다.
사용자 자신의 키를 사용하는 것은 경제적 논리를 정직하게 유지합니다.
언제 스캔할지는 사용자가 결정합니다. 분류 (triage)를 위해 어떤 모델 프리셋 (preset)을 사용할지도 사용자가 결정합니다. 스캔 기록은 사용자의 기기에 남습니다. Carapace는 CLI이며, 코드를 옮겨야 하는 서비스가 아닙니다.
이러한 로컬 우선 (local-first) 형태는 Carapace가 플랫폼이 되기 전에도 유용할 수 있는 이유이기도 합니다.
Carapace는 한 가지 작업만 수행합니다:
집중된 코드 조각을 읽고, 의심스러운 보안 경로를 찾아내며, 공격자가 해당 경로에 도달할 가능성이 있는지 검증하고, 발견한 내용을 기록하는 것입니다.
왜 우선적으로 분류(Triage)를 수행하는가
AI 보안 스캐너의 단순한(naive) 버전은 간단합니다. 모든 것을 가장 강력한 모델에 보내고 취약점을 찾아달라고 요청하는 것입니다.
하지만 이는 비용이 많이 들고, 노이즈가 심하며, 결과물을 읽어야 하는 사람에게 불공평한 경우가 많습니다.
Carapace는 두 단계를 사용합니다.
첫째, 더 저렴한 모델이 분류(triage)를 수행합니다. 이 모델은 집중된 파일 세트를 읽고 의심스러운 영역을 선별(shortlist)합니다. 그 다음, 중간(medium) 및 높은(high) 위험 후보들만 심층 분석(deep-dive)을 위해 자동으로 더 강력한 모델로 전송됩니다. 낮은(low) 위험 후보들은 기록되며, 위험도가 상대적으로 높은 낮은 위험 후보들은 나중에 수동으로 심층 분석할 수 있습니다.
이러한 분리는 단순히 비용에 관한 것이 아닙니다.
이것은 주의력(attention)에 관한 것입니다.
보안 보고서는 인간의 시간을 소모합니다. 모든 것을 보고하는 도구는 결국 무시당할 것입니다. 자신이 지원할 수 있는 것만 보고하는 도구가 실제 워크플로(workflow)의 일부가 될 가능성이 더 높습니다.
목표는 발견된 항목(findings)의 수를 최대화하는 것이 아닙니다.
목표는 누군가의 업무를 중단시킬 만큼 가치 있는 발견의 수를 최대화하는 것입니다.
왜 도달 가능성(Reachability)이 중요한가
많은 AI 보안 보고서가 동일한 지점에서 실패합니다. 바로 위험해 보이는 분기(branch)와 실제로 악용 가능한 경로(exploitable path)를 혼동하는 것입니다.
위험해 보이는 코드가 있습니다.
그리고 공격자가 실제로 도달할 수 있는 코드가 있습니다.
Carapace는 그 차이를 중심으로 구축되었습니다.
만약 관리자 전용 분기가 존재한다면, 문제는 단순히 그 분기가 위험한지 여부가 아닙니다. 문제는 공격자가 해당 관리자가 될 수 있는지, 해당 신원을 사칭할 수 있는지, 해당 요청 경로를 제어할 수 있는지, 또는 신뢰 경계(trust boundary) 외부에서 해당 조건을 충족할 수 있는지 여부입니다.
만약 서버가 URL을 가져온다면(fetch), 문제는 단순히 서버 측 fetch가 존재하는지 여부만이 아닙니다. 문제는 공격자가 URL을 설정할 수 있는지, 프라이빗 목적지(private destinations)가 차단되어 있는지, 리다이렉트(redirects)가 재검증되는지, 그리고 런타임 제약 조건(runtime constraints)이 결과를 바꾸는지 여부입니다.
이것이 Carapace가 심층 분석(deep-dive)을 수행하는 이유입니다.
Carapace는 공격 시나리오(attack story)를 요구합니다.
공격자를 돕기 위해서가 아니라, 공격 경로가 없는 발견은 종종 기술적인 언어로 작성된 불안감에 불과하기 때문입니다.
왜 프롬프트(Prompts)를 공개하는가
Carapace는 자신의 프롬프트 (Prompts)를 비밀스러운 해자 (Moat)로 취급하지 않습니다.
검사 로직은 설계 단계부터 공개되어 있습니다. 가치는 지침 (Instructions)을 숨기는 데 있는 것이 아닙니다. 가치는 방법론, 리뷰 루프 (Review loop), 그리고 무엇을 보고해야 하고 무엇을 보고하지 말아야 하는지에 대해 축적된 판단력에 있습니다.
이 또한 신뢰에 대한 선택입니다.
보안 도구가 당신의 코드를 읽겠다고 요청한다면, 당신은 그 도구가 어떻게 사고하는지 볼 수 있어야 합니다. 모델에 무엇을 보내는지, 신뢰할 수 없는 저장소 (Repository) 콘텐츠를 어떻게 감싸는지, 분류 (Triage)와 심층 분석 (Deep-dive)을 어떻게 구분하는지, 그리고 결과를 어떻게 기록하는지 알아야 합니다.
이것은 완벽한 보안이 아닙니다. 투명성 (Transparency)입니다.
그리고 개발자에게 자신의 판단을 신뢰해 달라고 요청하는 도구에게 있어, 투명성은 매우 중요합니다.
더 넓은 접근 권한이 주어지기 전의 기묘한 고요함
지금은 기묘한 고요함이 흐르고 있습니다.
가장 강력한 방어 능력은 우선 핵심 인프라, 검증된 방어자, 그리고 엔터프라이즈 프로그램 주변에 집중되고 있습니다. 이는 이해할 수 있는 일입니다.
동시에, 다른 채널들을 통해 그에 필적하는 능력이 나타나기 시작하고 있습니다. 신뢰할 수 있는 접근 권한을 가진 사이버 모델 (Trusted-access cyber models), 강력한 범용 코딩 모델 (General coding models), 그리고 공개 모델들을 결합하여 더 유능한 워크플로우 (Workflows)를 만들 수 있는 오케스트레이션 시스템 (Orchestration systems) 등이 그것입니다.
공격 측은 모든 소규모 팀이 준비될 때까지 기다려주지 않을 것입니다.
하지만 소규모 팀들에게는 아직 시간이 있습니다.
그것이 바로 Carapace가 구축된 기회의 창입니다.
"취약점 없음"을 약속하기 위해서가 아닙니다.
인간의 보안 작업을 대체하기 위해서도 아닙니다.
모든 개발자를 레드 팀 (Red team)으로 만들기 위해서도 아닙니다.
목표는 더 작고 실용적입니다:
Glasswing 서클 밖의 사람들이 자신의 코드를 더 일찍, 더 주의 깊게, 그리고 더 적은 오탐 (False alarms)으로 읽을 수 있도록 돕는 것입니다.
Carapace가 중요해질지는 저도 모릅니다.
하지만 제가 왜 이것을 만들었는지는 알고 있습니다.
공격 능력은 바깥으로 확장되고 있습니다. 가장 강력한 방어는 여전히 집중되어 있습니다. 이 두 사실 사이의 공간이 바로 소규모 도구들이 존재해야 하는 곳입니다.
Carapace는 바로 그 도구 중 하나입니다.
더 읽어보기
- Carapace GitHub: [https://github.com/carapace-sec/carapace-sec]
- npm: [https://www.npmjs.com/package/carapace-sec]
- Landing page: [https://carapace-sec.github.io/carapace-sec/]
- Field-test article: [https://dev.to/carapace/i-wont-call-it-a-vulnerability-how-carapace-chose-not-to-overclaim-an-oss-finding]
- Original Japanese version: [https://zenn.dev/carapace/articles/carapace-why-i-built]
AI/보안 컨텍스트에 사용된 출처:
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기