기술 설명
Anthropic의 Project Glasswing은 2026년 5월 22-23일에 Claude Mythos Preview가 자율적으로 발견한 CVE-2026-5194, 즉 임베디드 시스템, IoT 및 TLS 스택에서 광범위하게 사용되는 WolfSSL 암호화 라이브러리의 중대한 결함(CVSS 9.1)을 공개했습니다. 이 결함은 공격자가 X.509 인증서를 위조하고 은행 및 이메일 도메인을 포함한 정당한 서비스를 눈에 띄지 않게 가장할 수 있도록 허용합니다. Mythos Preview는 결함을 식별할 뿐만 아니라 인증서 위조를 입증하는 작동하는 익스플로잇을 구성했습니다. 더 광범위하게, Anthropic은 1,000개 이상의 널리 사용되는 오픈소스 프로젝트를 스캔했고 외부 보안 회사 검토에서 90.8%의 확인된 진양성률을 가진 6,202개의 높음 또는 중대 수준의 취약점을 발견했습니다. 공개 당시 초기 보고된 취약점 중 97개만 업스트림에서 패치되었으며, 이는 심각한 병목 현상을 노출합니다: 자원봉사 오픈소스 유지보수자들이 고품질의 AI 생성 취약점 공개로 인해 압도당하고 있습니다. Glasswing에서 발견한 모든 CVE 카탈로그는 패치가 제공됨에 따라 90일 조정된 공개 일정에 따라 공개될 것입니다.
공격 경로
CVE-2026-5194의 경우: WolfSSL 인증서를 위조할 수 있는 공격자는 WolfSSL을 TLS 검증에 사용하는 시스템에 대해 HTTPS 가장 공격을 수행할 수 있으며, 인증서 경고를 트리거하지 않고 중간자 가로채기를 활성화합니다. 더 광범위한 Glasswing 카탈로그의 경우: Mythos Preview는 익스플로잇 체인 구성, 즉 여러 낮음 수준의 버그를 단일 높음 수준의 익스플로잇으로 자율적으로 연결할 수 있는 능력을 입증했으며, 이는 이러한 6,200개 이상의 결함의 위험 표면이 개별 CVSS 점수에 격리되어 시사하는 것보다 훨씬 높다는 의미입니다.
영향받는 시스템
WolfSSL 암호화 라이브러리(패치된 릴리스 이전의 모든 버전 — 패치 상태는 WolfSSL 공지사항에 대해 확인될 예정); Glasswing 스캔 프로그램에 걸친 1,000개 이상의 오픈소스 프로젝트로서, 집합적으로 인터넷 인프라, 클라우드 서비스 및 엔터프라이즈 소프트웨어 스택의 상당 부분을 지원합니다.
완화 방안
CVE-2026-5194의 경우: WolfSSL 공지사항(https://www.wolfssl.com/docs/security-vulnerabilities/)을 모니터링하여 조정된 패치 릴리스를 위해 모니터링하고, 제공되면 즉시 적용하십시오. 더 광범위한 Glasswing 카탈로그의 경우: Anthropic의 Glasswing CVE 공개 피드를 구독하고 Glasswing이 속성한 모든 새로운 CVE를 분류의 높은 우선순위로 처리하십시오. 취약점 분류 프로세스를 확장하여 원시 CVSS만 사용하는 대신 익스플로잇 가능성 컨텍스트(EPSS 점수, KEV 상태, 도달 가능성)를 사용하십시오 — 2026년에 예상되는 확인된 높음/중대 공개의 양은 심각도 점수만 사용하는 팀을 압도할 것입니다. WolfSSL을 중요한 경로에서 사용하는 시스템에 대해 보상 제어(엄격한 인증서 핀닝, mTLS, 네트워크 분할)를 구현하십시오.