브리티시 텔레콤(BT)이 Anthropic의 Project Glasswing에 참여했다. 이 프로젝트는 공격자가 취약점을 악용하기 전에 인공지능을 활용해 소프트웨어의 보안 허점을 찾아내는 것을 목표로 한다. 이로써 영국 최대 통신사 중 하나가 대규모 언어 모델(LLM)로 취약점 스캐닝을 자동화하려는 프로그램에 합류하게 됐다.
Project Glasswing의 목표
Project Glasswing은 Anthropic이 자사의 생성형 AI 모델을 코드 감사 도구로 전환하려는 노력이다. AI는 단순히 코드를 작성하거나 요약하는 대신 버퍼 오버플로, SQL 인젝션 지점, 인증 결함과 같은 일반적인 취약점을 식별하도록 훈련된다. BT는 이 프로젝트에 참여함으로써 해당 스캐닝 도구에 조기 접근할 수 있으며, 발견된 결과를 피드백하여 모델을 개선하는 데 기여할 것으로 보인다.
수백만 고객과 기업을 아우르는 네트워크를 운영하는 통신 대기업에게 자동화된 스캐닝은 분명 매력적이다. 수동 코드 리뷰는 느리고 비용이 많이 든다. 소프트웨어 공급망에는 이제 수천 개의 오픈소스 구성 요소가 포함되어 있으며, 각각이 침해의 잠재적 진입점이 된다. AI가 몇 주가 아닌 몇 분 만에 코드베이스를 스캔할 수 있다면, 취약점이 도입된 시점부터 패치가 작성되는 시점까지의 시간이 크게 단축될 수 있다.
BT가 적합한 이유
BT의 사이버 보안 부서는 오랫동안 국가 핵심 인프라 보호에 주력해 왔다. 이 회사는 영국 최대 사설 네트워크 중 하나를 운영하며 정부 기관, 은행, 의료 제공업체의 데이터를 처리한다. BT 시스템의 침해는 통신 요금에만 영향을 미치는 것이 아니라 응급 서비스나 금융 거래를 마비시킬 수도 있다.
샌프란시스코에 본사를 둔 AI 연구소 Anthropic은 Claude 모델 제품군을 개발하며 안전성을 핵심 가치로 삼아 왔다. Project Glasswing은 그 일환으로, 다른 시스템을 방어할 수 있는 AI 시스템을 구축하는 것을 목표로 한다. BT와 같은 통신 사업자를 참여시킴으로써 Anthropic은 격리된 실험실 환경에서는 제공할 수 없는 실제 배포 데이터와 스트레스 테스트를 확보할 수 있다.
출시에 관한 세부 사항은 아직 미정
BT와 Anthropic 모두 일정, 재정 조건, 스캐닝 도구가 BT의 기존 보안 파이프라인에 얼마나 깊이 통합될지에 대해 공개하지 않았다. 또한 AI 스캐닝이 BT의 기업 고객에게 서비스로 제공될지, 아니면 내부용으로 유지될지도 불분명하다.
알려진 사실은 BT가 프로젝트의 연구 단계에 참여하여 취약점 데이터셋과 사용 사례를 제공할 것이라는 점이다. 이는 Anthropic이 대규모 통신 네트워크에서 실제로 실행되는 코드(레거시 시스템, 타사 소프트웨어, 맞춤형 인프라가 혼합된 코드)에 대해 모델을 개선하는 데 도움이 될 수 있다.
규제 및 신뢰 문제
AI를 사용하여 코드를 스캔하는 것은 그 자체로 위험을 수반한다. 모델이 오탐지(false positive)를 표시하면 엔지니어는 허상을 쫓게 된다. 실제 취약점을 놓치면 시스템이 허위 안전감을 조성할 수 있다. 영국과 유럽의 규제 당국은 AI가 핵심 분야에서 어떻게 배치되는지 주시하고 있으며, BT 네트워크와 관련된 어떤 사건도 조사를 받게 될 것이다.
BT는 AI 스캐닝이 독립적인 제3자에 의해 감사를 받을지, 또는 독점 코드를 Anthropic의 클라우드에 업로드하는 것에 따른 프라이버시 문제를 어떻게 처리할 계획인지 밝히지 않았다. 이러한 질문들은 파트너십이 진행됨에 따라 여전히 열려 있다.
