00:00:00매일 소프트웨어를 사용하는 대부분의 사람들은 버그에 대해 생각하지 않습니다.
00:00:04자신이 의존하는 소프트웨어의 보안이 갑자기 취약해지면 어떤 일이 벌어질지 생각하지 않죠.
00:00:12그것은 소프트웨어 개발자들이 매일같이 씨름해야 하는 문제입니다.
00:00:16[음악]
00:00:19소프트웨어에는 항상 결함과 취약점이 있었습니다. 새로운 일은 아니죠.
00:00:23일반인들에게 버그는 대체로 일상에서 눈에 띄는 것이 아닙니다.
00:00:30문제가 생기면 바로 수정되기 때문입니다.
00:00:32하지만 가끔씩, 정말 심각한 영향을 미치는 취약점들이 나타나곤 합니다.
00:00:36수많은 제품이나 웹사이트가 공통으로 사용하는 공유 소프트웨어에 버그 하나가 침투하는 경우처럼요.
00:00:45그래서 단 하나의 문제가 전 세계로 확산되어 증폭됩니다.
00:00:49역사적으로 취약점을 찾아 패치하는 것은 느리고 시간이 많이 걸리며 비용이 많이 드는 과정이었습니다.
00:00:55만약 LLM이 세계 최고 수준의 개발자들만큼 코드를 작성할 수 있게 된다면,
00:01:04마찬가지로 효율적으로 버그를 찾고 소프트웨어를 공격하는 데 사용될 수도 있습니다.
00:01:10이러한 모델들은 사이버 보안의 기준을 높이는 역량을 갖추고 있으며,
00:01:16방어자를 돕는 동시에 잠재적으로 공격자에게도 도움을 줄 수 있습니다.
00:01:23저희는 최근 새로운 모델인 Claude Mythos Preview를 개발했습니다.
00:01:27초기에 저희는 이 모델이 사이버 보안 능력 면에서 의미 있게 향상될 것임을 확신했습니다.
00:01:33가속화되는 지수적 성장 곡선이 있는데, 그 곡선 위에는 중요한 변곡점들이 존재합니다.
00:01:40Claude Mythos Preview는 그 지점에서 특히 큰 도약을 이뤄낸 모델입니다.
00:01:45저희는 이 모델을 사이버 보안에 특화되도록 훈련시키지 않았습니다.
00:01:48코딩을 잘하도록 훈련시켰는데, 그 부수적인 효과로 사이버 보안 능력도 좋아진 것이죠.
00:01:54저희가 실험 중인 이 모델은 대체로 전문 보안 연구원만큼 버그를 잘 식별합니다.
00:02:03덕분에 더 많은 취약점을 조기에 발견하고 수정할 수 있어 저희에게는 큰 이점입니다.
00:02:07이 모델은 취약점들을 서로 연결하는 능력을 갖추고 있습니다.
00:02:10독립적으로는 별다른 위협이 되지 않는 두 개의 취약점을 찾아내더라도,
00:02:16이 모델은 3개, 4개, 때로는 5개의 취약점을 순차적으로 엮어
00:02:21매우 정교한 최종 공격 시나리오를 만들어낼 수 있다는 의미입니다.
00:02:24그리고 저희는 이 모델이 매우 자율적이기 때문에 이 일을 아주 잘 해낼 수 있다고 봅니다.
00:02:30이 모델은 인간 보안 연구원이 하루 종일 수행하는 업무와 유사한
00:02:37장기적인 과업을 수행하는 데 전반적으로 더 뛰어난 성능을 보입니다.
00:02:42분명 이런 모델의 역량이 잘못된 곳에 쓰인다면 해를 끼칠 수도 있습니다.
00:02:46그래서 저희는 이 모델을 대중에게 널리 공개하지 않을 것입니다.
00:02:49저희뿐만 아니라 다른 곳에서도 더 강력한 모델들이 계속 등장할 것입니다.
00:02:53따라서 이에 대응할 계획이 반드시 필요합니다.
00:02:56그래서 저희는 "프로젝트 글래스윙(Project Glasswing)"을 시작합니다. 여기에서 저희는
00:03:02세계의 핵심 코드를 관리하는 여러 조직과 파트너십을 맺고 그들에게 모델을 제공하여,
00:03:06이런 모델을 통해 위험을 낮추고 모두를 보호할 수 있는 방법을 연구하도록 돕고 있습니다.
00:03:12이 개발자들에게 누구보다 먼저 고급 도구를 제공함으로써, 우리 모두가 공동의 우위를 선점할 수 있게 됩니다.
00:03:22이전에는 찾지 못했던 것들을 발견하게 해주고, 훨씬 더 빠르게 수정할 수 있도록 도와줍니다.
00:03:30파트너들과 협력하며 거의 모든 주요 플랫폼에서 취약점을 발견해 왔습니다.
00:03:36지난 몇 주 동안 평생 발견한 것보다 더 많은 버그를 찾아냈습니다.
00:03:41저희는 이 모델을 사용하여 수많은 오픈 소스 코드를 스캔했습니다.
00:03:44가장 먼저 공략한 대상은 운영체제였습니다.
00:03:48운영체제는 전체 인터넷 인프라의 근간이 되는 코드이기 때문입니다.
00:03:52OpenBSD에서는 27년 동안 존재했던 버그를 발견했는데,
00:03:58데이터 조각 몇 개만 보내면 모든 OpenBSD 서버를 다운시킬 수 있는 결함이었습니다.
00:04:05리눅스에서는 아무런 권한이 없는 사용자라도
00:04:11단순히 바이너리를 실행하는 것만으로 관리자 권한을 획득할 수 있는 취약점을 여럿 발견했습니다.
00:04:16각각의 버그에 대해 저희는 소프트웨어를 운영하는 관리자들에게 알렸고,
00:04:20그들은 즉시 패치를 배포하여 이제 누구나 안심하고 소프트웨어를 사용할 수 있게 되었습니다.
00:04:27끊임없이 소프트웨어를 관리하는 개발자들에게,
00:04:30자신의 코드에서 취약점을 미리 발견하고 악용되기 전에 수정하도록 돕는 모델은
00:04:38정말 소중한 도구입니다.
00:04:40저희는 미국 정부 관계자들과도 이야기를 나누었으며,
00:04:43이러한 모델의 위험을 평가하고 방어하기 위해 협력하고 공동 대응할 것을 제안했습니다.
00:04:50이제 우리 삶의 모든 것은 소프트웨어에 의존하고 있습니다.
00:04:55소프트웨어가 세상을 삼킨 셈이죠.
00:04:56우리 삶의 모든 아날로그적 측면이 디지털 영역에 반영되어 있습니다.
00:05:01그래서 우리의 일상은 이러한 시스템을 신뢰할 수 있다는 믿음 위에 돌아갑니다.
00:05:08사이버 보안은 곧 우리 사회의 안전입니다.
00:05:11업계 전체가 힘을 합쳐 더 나은 방어 역량을 구축하는 것이 필수적입니다.
00:05:19어떤 단일 조직도 전체 그림을 보거나 이 문제를 혼자서 해결할 수 없습니다.
00:05:22이것은 몇 주 만에 끝날 프로그램이 아닙니다.
00:05:26수개월, 어쩌면 수년이 걸릴 작업이 될 것입니다.
00:05:29하지만 이 과정이 끝날 때쯤에는 전 세계의 소프트웨어와 고객 데이터, 금융 거래,
00:05:38그리고 핵심 인프라가 이전보다 훨씬 더 안전해지기를 희망합니다.