(심층브리핑) 글래스윙 프로젝트(4.21기준)
DEEP BRIEFING · April 21, 2026
Project Glasswing 전선 지도 | 국가별 대응 분석
Glasswing은 미국 민간의 결정-그러나 결과는 세계가 감당
Anthropic Project Glasswing — 4/7 출범 후 2주간 각국 반응 종합 추적
핵심 요약
Project Glasswing은 4/7 출범 이후 2주 만에 단순한 사이버 방어 컨소시엄을 넘어 AI 시대 안보 자원의 국제 배분 문제로 번졌다. 창립 파트너 12곳과 추가 40여 개 조직에 비미국 기관이 단 한 곳도 없다는 사실이 확인되면서, 영국은 자국 은행을 통한 우회 접근로를 확보했고, EU는 규제 채널을 통한 진입을 시도했으며, 인도는 취약성 경고를 발령했다. 캐나다는 독자 긴급회의를 개최했고, 아일랜드 NCSC는 공식 검토 성명을 냈다. 한국은 독자 방어 모델 개발을 선언했지만 Glasswing 접근 현황은 아직 불투명하다. 가장 충격적인 반전은 미국 내부에서 나왔다 - NSA가 Glasswing의 비공개 파트너 중 하나임을 Axios가 확인했다. 즉 펜타곤의 모기관이 "Anthropic은 공급망 리스크"라고 법원에서 주장하는 동안 산하 정보기관은 그 기술을 쓰고 있었다.
0
Glasswing 기본 구조 - 누가 들어가고 누가 밖에 있나
창립 파트너 12곳 + 추가 40여 개 조직 - 전원 미국 중심 기업
구조 분석
공식 창립 파트너 12곳 (전원 미국 본사)
Amazon Web Services / Apple / Broadcom / Cisco / CrowdStrike / Google /
JPMorgan Chase / Linux Foundation / Microsoft / NVIDIA / Palo Alto Networks / Anthropic
추가 40여 개 조직: 공개 명단 없음 - 다만 Axios 4/19 확인으로 NSA 포함 확인됨
접근 경로: Amazon Bedrock / Google Vertex AI / Microsoft Foundry - AWS FedRAMP High 수준 보안
약속된 자원: $1억 사용 크레딧 + $400만 오픈소스 보안 단체 기부
공개 보고 약속: 4/7 기준 90일 내 (→ 7월 2026) 취약점 발견 현황 보고
Amazon Web Services / Apple / Broadcom / Cisco / CrowdStrike / Google /
JPMorgan Chase / Linux Foundation / Microsoft / NVIDIA / Palo Alto Networks / Anthropic
추가 40여 개 조직: 공개 명단 없음 - 다만 Axios 4/19 확인으로 NSA 포함 확인됨
접근 경로: Amazon Bedrock / Google Vertex AI / Microsoft Foundry - AWS FedRAMP High 수준 보안
약속된 자원: $1억 사용 크레딧 + $400만 오픈소스 보안 단체 기부
공개 보고 약속: 4/7 기준 90일 내 (→ 7월 2026) 취약점 발견 현황 보고
현재까지 공개된 CVE - 예상보다 적다
VulnCheck 연구원 Patrick Garrity 분석 (The Register 4/15): CVE 데이터베이스에서 Anthropic 관련 75건 중 실제 Glasswing 연계 가능 CVE는 최대 40건, 명확히 귀속된 건 단 1건 (CVE-2026-4747 FreeBSD RCE). 27년 된 OpenBSD 취약점, 16년 된 FFmpeg 취약점, Linux 커널 권한 상승 체인은 아직 CVE 미부여. 전체 그림은 7월 공개 예정.
VulnCheck 연구원 Patrick Garrity 분석 (The Register 4/15): CVE 데이터베이스에서 Anthropic 관련 75건 중 실제 Glasswing 연계 가능 CVE는 최대 40건, 명확히 귀속된 건 단 1건 (CVE-2026-4747 FreeBSD RCE). 27년 된 OpenBSD 취약점, 16년 된 FFmpeg 취약점, Linux 커널 권한 상승 체인은 아직 CVE 미부여. 전체 그림은 7월 공개 예정.
1
미국 - 내부 분열 공개화
US
NSA - Glasswing 비공개 파트너 확인. 펜타곤 소송과 병행
Axios 단독 4/19
긴급
2월국방부(펜타곤), Anthropic을 "공급망 리스크" 지정. 모든 연방기관에 서비스 중단 지시. 계약 협상 결렬 배경: 펜타곤이 요구한 "모든 합법적 목적" 사용 - Anthropic이 대규모 국내 감시·자율 무기 개발 목적을 거부.
3월Anthropic, 9th Circuit과 D.C. Circuit에 펜타곤 지정 처분 취소 소송 동시 제기. D.C. Circuit 법원은 예비 금지 명령 부여. 9th Circuit은 기각 - 4/30이 항소 기한.
4/7Glasswing 출범. 40여 개 비공개 파트너 중 NSA 포함 사실상 확인.
4/18백악관 수석비서관 Susie Wiles + 재무장관 Scott Bessent + Amodei 3자 회동. "productive and constructive." 다음 단계는 펜타곤 외 부처의 Mythos 활용 방안에 집중 예정.
4/19Axios 단독: NSA가 Glasswing 파트너로 Mythos Preview 사용 중 확인. 국방부 "더 넓은 범위에서도 사용 중"(소식통 1명). 트럼프 "no idea."
역설 - 같은 건물에서 소송과 사용이 동시에
펜타곤 법무팀이 법원에서 "Anthropic 도구 사용은 국가 안보 위협"이라고 주장하는 동시에, 동일 조직 산하 NSA는 그 도구를 방어 목적으로 활용 중. 이 구조적 모순은 Axios 보도로 처음 공개됐다. 함의: 미 정부는 Mythos를 정치적으로 통제하려 하면서도 운영적으로는 의존하고 있다.
펜타곤 법무팀이 법원에서 "Anthropic 도구 사용은 국가 안보 위협"이라고 주장하는 동시에, 동일 조직 산하 NSA는 그 도구를 방어 목적으로 활용 중. 이 구조적 모순은 Axios 보도로 처음 공개됐다. 함의: 미 정부는 Mythos를 정치적으로 통제하려 하면서도 운영적으로는 의존하고 있다.
2
영국 - 가장 빠른 우회 접근 확보
UK
BoE + FCA + NCSC + 재무부 긴급 회의 → 4/16 은행 접근권 확보
가장 신속한 대응
접근 확보
4/7Glasswing 출범 - 영국 기관 전무. 영국 금융 당국 즉각 긴급 내부 회의 시작.
4/10미 재무장관 Bessent + 연준의장 Powell, 월스트리트 CEO 긴급 소집 (Citigroup Jane Fraser, BofA Brian Moynihan, Morgan Stanley Ted Pick, Wells Fargo Charlie Scharf, Goldman Sachs David Solomon). Powell의 참석은 금융안정 차원으로 해석 - 기술 정책이 아니라 시스템 리스크 문제임을 시사.
4/12FT 단독 보도: 영국 BoE + FCA + HM Treasury + NCSC 긴급 협의. CMORG(영국 8대 은행 CEO + 4개 금융 인프라 + 2개 보험사 + 규제기관) 소집 결정.
4/16Anthropic, 영국 주요 은행에 Mythos Preview 접근권 제공 확정. Pip White(Anthropic 영국·아일랜드·북유럽 헤드): "최근 며칠 영국 은행 CEO들의 상당한 관심." (Disruption Banking)
영국 접근 방식의 특수성
Glasswing은 미국 본사 기업 전용이지만 영국은 금융기관 채널을 통해 사실상 우회 접근 확보. BoE의 Cross Market Business Continuity Group(CMORG)은 1~2시간 내 소집 가능한 비상 체계. 전 NCSC 수장 Ciaran Martin: "취약점 발견 타임라인이 수개월에서 수초로 단축되는 것은 도전이지만, 인터넷의 숨겨진 버그를 수정할 '실질적 기회'이기도 하다." 단, Version1 분석: 영국 공공기관은 Glasswing과 공식 채널 없음 - 금융권만 선별 접근.
Glasswing은 미국 본사 기업 전용이지만 영국은 금융기관 채널을 통해 사실상 우회 접근 확보. BoE의 Cross Market Business Continuity Group(CMORG)은 1~2시간 내 소집 가능한 비상 체계. 전 NCSC 수장 Ciaran Martin: "취약점 발견 타임라인이 수개월에서 수초로 단축되는 것은 도전이지만, 인터넷의 숨겨진 버그를 수정할 '실질적 기회'이기도 하다." 단, Version1 분석: 영국 공공기관은 Glasswing과 공식 채널 없음 - 금융권만 선별 접근.
3
EU + 회원국 - 규제 채널로 진입 시도
EU
4/15 유럽 규제 당국 - Anthropic 직접 브리핑. EU AI Act 고위험 모델 편입 검토 중
진행 중
접근 요청
PYMNTS 4/15 보도: EU 규제 당국이 4/15 Anthropic으로부터 Mythos 사이버 보안 우려 브리핑 수령. 비미국 기관 Glasswing 전면 배제에 우려 표명. EU 집행위는 Mythos급 모델을 EU AI Act 고위험 시스템 분류 틀로 편입하는 방안을 검토 중.
EU의 전략적 딜레마
- EU AI Act 다음 시행 단계: 8/2/2026 - 고위험 AI 감사 추적·사이버 보안 의무·사고 보고 의무·글로벌 매출 3% 페널티 적용
- Glasswing이 커버하는 인프라는 유럽 전력망·금융·의료 시스템과 직결됨에도 EU 기관 배제
- EU는 접근권 요구와 규제 집행권 사이에서 레버리지를 찾는 중
- 아일랜드 NCSC: Anthropic 기술 문서 공식 검토 완료 성명 발표 (RTE 보도)
- EU AI Act 다음 시행 단계: 8/2/2026 - 고위험 AI 감사 추적·사이버 보안 의무·사고 보고 의무·글로벌 매출 3% 페널티 적용
- Glasswing이 커버하는 인프라는 유럽 전력망·금융·의료 시스템과 직결됨에도 EU 기관 배제
- EU는 접근권 요구와 규제 집행권 사이에서 레버리지를 찾는 중
- 아일랜드 NCSC: Anthropic 기술 문서 공식 검토 완료 성명 발표 (RTE 보도)
독일 BSI
Disruption Banking 보도: 독일 연방 정보보안청(BSI)이 Mythos 공개 후 자국 금융권을 대상으로 자체 리스크 평가 진행. 공식 성명은 없으나 모니터링 중 확인.
Disruption Banking 보도: 독일 연방 정보보안청(BSI)이 Mythos 공개 후 자국 금융권을 대상으로 자체 리스크 평가 진행. 공식 성명은 없으나 모니터링 중 확인.
4
캐나다 - 독자 금융 긴급회의
CA
캐나다 중앙은행, 영국과 별도로 자국 금융기관 대상 Mythos 긴급회의 독자 소집
독자 대응
모니터링
The Next Web 보도: 캐나다 중앙은행(Bank of Canada)이 영국 CMORG 회의와 별도로 자국 은행·금융기관을 대상으로 Mythos 리스크 관련 긴급회의를 독자적으로 소집. 미국·영국과 동조하되 별도 국가 채널을 운영하는 방식. Glasswing 공식 접근권은 없음. 캐나다 법무법인 MLT Aikins: Glasswing의 의미와 캐나다 기업 대응 방안 브리핑 공개(4/15).
5
인도 - 가장 큰 취약국, 접근권 없는 딜레마
IN
Times of India - 인도 정부 포털 노후 인프라 취약성 경고. "Glasswing 없는 방어"
고위험
배제 상태
Times of India와 MayhemCode 분석: 인도의 취약성이 특히 심각한 이유는 레거시 인프라 + 대규모 공격 표면 + 방어 역량 부족의 3중 취약 구조. 2025~26 위협 동향: 악성코드 탐지 2억6500만 건, 트로이목마·파일 감염이 70% 차지. 은행권 주요 침투 경로는 공급망·벤더 포털 공격.
인도 정부 디지털 인프라 취약성
- 정부 포털 상당수: 수년간 업데이트 없는 노후 프레임워크 운영
- 일부 시스템: 더 이상 존재하지 않는 벤더가 개발한 레거시 코드
- AI 공격 대응 타임라인: 정부 IT 부서는 "20시간 내 무기화"에 대응 불가
- 결론: "Mythos급 모델이 인도 정부 디지털 인프라를 표적으로 삼으면 결과는 꽤 나쁠 수 있다"(MayhemCode)
- 정부 포털 상당수: 수년간 업데이트 없는 노후 프레임워크 운영
- 일부 시스템: 더 이상 존재하지 않는 벤더가 개발한 레거시 코드
- AI 공격 대응 타임라인: 정부 IT 부서는 "20시간 내 무기화"에 대응 불가
- 결론: "Mythos급 모델이 인도 정부 디지털 인프라를 표적으로 삼으면 결과는 꽤 나쁠 수 있다"(MayhemCode)
AI타임스 4/21 보도에 따르면 인도는 Glasswing 조기 접근을 공식 요구하고 있으나 Anthropic의 공식 응답은 아직 없다.
6
한국 - 독자 방어 선언, 접근 현황 불투명
KR
국가AI전략위 보안특위 - "독자 AI 파운데이션 모델" 선언. 과기부 CISO 긴급 점검
한국 대응
독자 경로
4/10영국·미국 금융 규제기관 긴급 경보 이후 한국 금융당국 내부 모니터링 강화.
4/14과기정통부, 네이버·카카오·SKT·KT·LG유플러스 CISO 긴급 현안 점검 회의 소집. Mythos 취약점 탐지 능력 관련 주요 플랫폼·통신사 대응 점검.
4/16국가AI전략위원회 산하 보안특별위원회 제1차 정례회의. 이원태 위원장: "이제 사람이 아닌 AI가 해킹 주도권을 가지는 시대." 3대 대응 방향 제시: (1) AI 기반 실시간 방어 체계 (2) 독자 AI 파운데이션 모델 (3) 글로벌 보안 협력체계.
한국의 전략적 포지션 - 3가지 미결 과제
과제 1 - Glasswing 접근 여부: 한국 기관의 Glasswing 참여 현황 미공개. 한미 사이버 협력 프레임(2023 한미 사이버보안 협력 각서) 내에서 별도 채널 존재 가능성 있으나 미확인.
과제 2 - 독자 파운데이션 모델: 보안특위가 "독자 AI 파운데이션 모델 프로젝트"를 3대 방향에 포함. Glasswing 외부 대안으로 국산 AI 방어 모델 개발 방향 최초 공식 언급. 예산·타임라인 미확정.
과제 3 - 레거시 인프라: 한국 공공기관·금융권 노후 인프라 취약점 점검 체계가 Mythos급 위협 속도를 따라갈 수 있는지 검증 필요.
과제 1 - Glasswing 접근 여부: 한국 기관의 Glasswing 참여 현황 미공개. 한미 사이버 협력 프레임(2023 한미 사이버보안 협력 각서) 내에서 별도 채널 존재 가능성 있으나 미확인.
과제 2 - 독자 파운데이션 모델: 보안특위가 "독자 AI 파운데이션 모델 프로젝트"를 3대 방향에 포함. Glasswing 외부 대안으로 국산 AI 방어 모델 개발 방향 최초 공식 언급. 예산·타임라인 미확정.
과제 3 - 레거시 인프라: 한국 공공기관·금융권 노후 인프라 취약점 점검 체계가 Mythos급 위협 속도를 따라갈 수 있는지 검증 필요.
7
아일랜드·기타 - 공식 검토와 비판
IE
아일랜드 NCSC - 공식 검토 완료 성명. 회의론: "PR 플레이" 비판도 병존
공식 검토
아일랜드 NCSC: RTE 보도에 따르면 아일랜드 국가 사이버보안 센터가 Mythos 관련 기술 문서를 공식 검토 완료 성명 발표. EU 최대 빅테크 허브 국가로서 관련 기업들의 EMEA 본부가 집중된 아일랜드의 대응이 주목됨.
회의론 - 비판 목소리도 공존:
3가지 주요 비판
브루스 슈나이어 (보안 전문가): "이것은 매우 PR적 플레이이고 효과가 있었다. 기자들은 비판 없이 Anthropic의 주장을 반복하고 있다." 동시에 OpenAI도 유사 역량을 갖고 있다고 주장하며 미공개 결정 발표.
The Register / VulnCheck: Glasswing이 공개한 CVE가 단 1건(CVE-2026-4747). 수천 건 발견을 주장하지만 7월까지 검증 불가. "CVE 수는 아마도 40건, 또는 0건일 수도."
Internet Governance Project: Glasswing의 진짜 희소 자원은 모델 접근이 아니라 "발견부터 검증된 패치까지의 기관 역량." 12개 파트너가 선택된 이유는 코드베이스 지식이 가장 깊은 조직들이기 때문.
브루스 슈나이어 (보안 전문가): "이것은 매우 PR적 플레이이고 효과가 있었다. 기자들은 비판 없이 Anthropic의 주장을 반복하고 있다." 동시에 OpenAI도 유사 역량을 갖고 있다고 주장하며 미공개 결정 발표.
The Register / VulnCheck: Glasswing이 공개한 CVE가 단 1건(CVE-2026-4747). 수천 건 발견을 주장하지만 7월까지 검증 불가. "CVE 수는 아마도 40건, 또는 0건일 수도."
Internet Governance Project: Glasswing의 진짜 희소 자원은 모델 접근이 아니라 "발견부터 검증된 패치까지의 기관 역량." 12개 파트너가 선택된 이유는 코드베이스 지식이 가장 깊은 조직들이기 때문.
"Whether you view it as genuine caution or very clever marketing — the outcome is the same: a handful of major tech companies now have exclusive access to something that can locate software vulnerabilities faster than any human or team."
- Version1 분석, 2026.4.21
8
국가별 대응 전선 지도
미국
NSA 실사용 확인 + 백악관 회동. 펜타곤 소송 병행 - 정부 내 분열. 실사용
영국
은행 채널로 우회 접근 확보 (4/16). CMORG + BoE + FCA + NCSC + 재무부 긴급 대응. 부분 접근
EU
4/15 규제 채널로 브리핑 수령. EU AI Act 편입 검토. 독일 BSI 자체 평가. 요청 중
캐나다
중앙은행 독자 긴급회의. 영국과 별도 국가 채널 운영. Glasswing 접근 없음. 모니터링
인도
조기 접근 공식 요구. 레거시 인프라 취약성 가장 심각. 접근 없음. 배제
한국
보안특위 1차 회의·과기부 CISO 점검. 독자 방어 모델 선언. Glasswing 접근 여부 미확인. 확인 필요
아일랜드
NCSC 공식 검토 성명. EU 빅테크 허브 특성상 간접 영향 큼. 검토 완료
일본·싱가포르
공식 대응 미확인. 마이크로소프트 Japan 사이버 투자 별도 진행. 모니터링
9
정책 담당자를 위한 핵심 함의
1. Glasswing의 실제 희소 자원은 모델 접근이 아니다
Internet Governance Project 분석: 발견(discovery)이 AI로 상품화(commoditized)된 이후 병목은 검증된 패치로의 연결 역량으로 이동했다. 12개 파트너가 선택된 이유는 자신들의 코드베이스를 가장 잘 아는 기관들이기 때문. 정책 함의: 한국도 Glasswing 접근 그 자체보다 국내 핵심 인프라 코드베이스를 실제로 패치할 수 있는 조직 역량이 더 중요하다.
Internet Governance Project 분석: 발견(discovery)이 AI로 상품화(commoditized)된 이후 병목은 검증된 패치로의 연결 역량으로 이동했다. 12개 파트너가 선택된 이유는 자신들의 코드베이스를 가장 잘 아는 기관들이기 때문. 정책 함의: 한국도 Glasswing 접근 그 자체보다 국내 핵심 인프라 코드베이스를 실제로 패치할 수 있는 조직 역량이 더 중요하다.
2. "6개월 창문" - 우선순위는 지금
Alex Stamos(前 Facebook CSO): 오픈소스 모델이 프론티어 버그 탐지 능력을 따라잡기까지 약 6개월. 이 시간이 Glasswing의 선제 방어 창문. 즉 지금이 레거시 인프라 취약점 정리의 사실상 유일한 기회 창구.
Alex Stamos(前 Facebook CSO): 오픈소스 모델이 프론티어 버그 탐지 능력을 따라잡기까지 약 6개월. 이 시간이 Glasswing의 선제 방어 창문. 즉 지금이 레거시 인프라 취약점 정리의 사실상 유일한 기회 창구.
3. 비미국 배제 구조는 의도적 설계일 수 있다
Glasswing의 모든 파트너가 미국 본사 기업인 것은 우연이 아닐 수 있다. 미국 법 체계(FedRAMP, DoD 보안 기준) 준수 요건, 수출통제 규정, 그리고 Anthropic이 "미국 국가 안보 우선" 프레임으로 프로젝트를 구성했기 때문. 영국이 금융기관 경로로 우회 접근한 것은 이 구조를 뚫은 첫 사례다.
Glasswing의 모든 파트너가 미국 본사 기업인 것은 우연이 아닐 수 있다. 미국 법 체계(FedRAMP, DoD 보안 기준) 준수 요건, 수출통제 규정, 그리고 Anthropic이 "미국 국가 안보 우선" 프레임으로 프로젝트를 구성했기 때문. 영국이 금융기관 경로로 우회 접근한 것은 이 구조를 뚫은 첫 사례다.