기술 설명
Anthropic의 Project Glasswing은 2026년 5월 22–23일 Claude Mythos Preview가 임베디드 시스템, IoT, TLS 스택에서 광범위하게 사용되는 WolfSSL 암호화 라이브러리의 중요한 결함(CVSS 9.1)인 CVE-2026-5194를 자율적으로 발견했다고 공개했습니다. 이 결함은 공격자가 X.509 인증서를 위조하고 은행 및 이메일 도메인을 포함한 합법적인 서비스를 눈에 띄지 않게 가장할 수 있게 합니다. Mythos Preview는 결함을 식별했을 뿐만 아니라 인증서 위조를 시연하는 작동 가능한 익스플로잇을 구성했습니다. 더 광범위하게 Anthropic은 1,000개 이상의 널리 사용되는 오픈소스 프로젝트를 스캔했고 외부 보안 회사 검토에서 90.8%의 확인된 참양성률을 가진 6,202개의 높음 또는 중요 심각도 취약점을 발견했습니다. 공개 시점에 초기 보고된 취약점 중 97개만 업스트림에서 패치되었으며, 이는 심각한 병목을 드러냅니다: 자원봉사 오픈소스 유지보수자들이 고품질의 AI 생성 취약점 공개로 압도당하고 있습니다. Glasswing이 발견한 전체 CVE 카탈로그는 패치가 사용 가능해짐에 따라 90일 조정된 공개 일정에 따라 공개될 것입니다.
공격 경로
CVE-2026-5194의 경우: WolfSSL 인증서를 위조할 수 있는 공격자는 TLS 검증을 위해 WolfSSL에 의존하는 시스템에 대해 HTTPS 가장 공격을 수행할 수 있으며, 인증서 경고를 트리거하지 않고 중간자 가로채기를 가능하게 합니다. 더 광범위한 Glasswing 카탈로그의 경우: Mythos Preview는 익스플로잇 체인 구성을 시연했습니다 — 여러 저심각도 버그를 단일 고심각도 익스플로잇으로 자율적으로 연쇄시키는 것으로, 이 6,200+ 결함의 위험 표면이 개별 CVSS 점수를 단독으로 암시하는 것보다 훨씬 높다는 것을 의미합니다.
영향받는 시스템
WolfSSL 암호화 라이브러리 (패치된 릴리스 이전의 모든 버전 — 패치 상태는 WolfSSL 공지사항에 대해 확인될 예정); Glasswing 스캔 프로그램 전반의 1,000개 이상의 오픈소스 프로젝트로, 인터넷 인프라, 클라우드 서비스, 엔터프라이즈 소프트웨어 스택의 상당 부분을 총체적으로 지원합니다.
완화 방안
CVE-2026-5194의 경우: WolfSSL 공지사항(https://www.wolfssl.com/docs/security-vulnerabilities/)을 모니터링하여 조정된 패치 릴리스를 확인하고 사용 가능해지면 즉시 적용하십시오. 더 광범위한 Glasswing 카탈로그의 경우: Anthropic의 Glasswing CVE 공개 피드를 구독하고 Glasswing 속성의 모든 새 CVE를 분류의 우선순위로 취급하십시오. 취약점 분류 프로세스를 확장하여 원시 CVSS만 사용하는 대신 실행 가능성 컨텍스트(EPSS 점수, KEV 상태, 도달 가능성)를 사용하십시오 — 2026년에 예상되는 확인된 높음/중요 공개의 양은 심각도 점수에만 의존하는 팀을 압도할 것입니다. WolfSSL을 중요 경로에서 사용하는 시스템에 대해 보상적 제어(엄격한 인증서 고정, mTLS, 네트워크 분할)를 구현하십시오.