본문으로 건너뛰기
J
피드

클로드 미토스, 애플 보안 우회 연구에 쓰였다

security 약 7분
tags
#ai-security#macos#zero-day#llm#supply-chain
vote
0
댓글
북마크

보안 연구기업 캘리프가 앤트로픽의 차세대 모델 미토스를 활용해 macOS 보안 체계를 우회하는 공격 기법을 발견했다. 애플이 약 5년간 구축한 메모리 무결성 강제 기술을 겨냥했고, 연구진은 5일 만에 공격 코드를 완성한 것으로 전해졌다.

  • 1

    캘리프 연구진은 미토스를 활용해 macOS의 메모리 무결성 강제 기술을 우회하는 공격 기법을 찾았다

  • 2

    서로 다른 두 취약점과 여러 공격 기법을 연결해 권한 상승 공격 가능성을 보였다

  • 3

    연구 결과는 55쪽 기술 보고서로 애플에 전달됐고 애플은 검증 중이다

  • 4

    미토스는 앞서 파이어폭스에서 2주 만에 고위험 취약점 100개 이상을 찾은 것으로 알려졌다

  • 5

    AI가 취약점 발견과 공격 기법 조합 속도를 높이면서 보안 패치 속도와의 격차가 커질 수 있다는 우려가 나온다

미토스가 애플 보안 우회 연구에 들어감

  • 앤트로픽의 차세대 AI 모델 미토스(Mythos)가 macOS 보안 우회 연구에 활용됐다는 보도가 나옴

    • 미국 보안 연구기업 캘리프(Calif) 연구진이 미토스를 써서 애플 macOS의 핵심 보안 기술을 우회하는 공격 기법을 발견함
    • 월스트리트저널은 이 내용을 14일 현지시간 보도함
    • 연구 결과는 55쪽짜리 기술 보고서로 애플 본사에 전달됐고, 애플은 취약점을 검증 중이라고 밝힘

  • 공격 방식은 취약점 하나를 찌른 게 아니라 여러 조각을 연결한 쪽에 가까움

    • 연구진은 서로 다른 두 개의 소프트웨어 취약점과 여러 공격 기법을 체인처럼 묶음
    • 그 결과 맥의 메모리를 손상시키고, 일반적으로 접근이 막힌 시스템 영역에 진입하는 데 성공했다고 함
    • 이건 권한 상승(privilege escalation) 공격으로, 다른 공격과 결합되면 시스템 전체 장악으로 이어질 수 있음

⚠️주의

> 여기서 무서운 부분은 “AI가 완전히 새 공격을 혼자 발명했다”가 아니라, 기존 공격 기법을 빠르게 재구성하고 연결했다는 점임. 실전 공격은 원래 이런 조합 싸움인 경우가 많음.

  • 애플 입장에서는 타격감이 큰 이유가 있음
    • 이번 공격은 애플이 약 5년에 걸쳐 구축한 메모리 무결성 강제(MIE)를 겨냥함
    • MIE는 메모리 변조와 악성 코드 삽입을 막기 위한 핵심 보안 구조임
    • 그런데 연구진은 미토스를 활용해 단 5일 만에 이를 우회하는 공격 코드를 완성한 것으로 전해짐

보안 업계가 말하는 ‘버그마게돈’

  • 캘리프 CEO 타이 두옹은 미토스가 공격을 단독으로 만든 건 아니라고 선을 그음

    • 대신 기존 공격 기법을 빠르게 재구성하고 결합하는 데 탁월했다고 설명함
    • 이 표현이 중요함. AI가 인간 해커를 대체한다기보다, 숙련자의 생산성을 크게 증폭시키는 쪽에 가까움

  • 미토스의 이전 사례도 꽤 세다

    • 올해 초 모질라 파이어폭스에서 2주 만에 100개 이상의 고위험 취약점을 발견한 것으로 알려짐
    • 기존 글로벌 보안 연구자들이 수개월 동안 하던 작업량에 맞먹는 수준이라고 평가됨
    • 그래서 업계에서는 ‘버그마게돈(Bugmageddon)’이라는 표현까지 나옴

중요

> 취약점 발견 속도가 빨라지면 문제는 패치 속도임. 공격자가 발견하고 무기화하는 시간보다 방어자가 검증하고 배포하는 시간이 길어지면, 보안 운영 모델 자체가 흔들림.

AI 해킹 시대의 위협 구조

  • 첫 번째 위협은 취약점 발견 속도의 폭증임

    • 예전에는 고급 보안 연구자가 장기간 분석해야 했던 취약점을 AI가 며칠 안에 후보로 끌어낼 수 있음
    • 이 흐름이 계속되면 제로데이(Zero-day) 공격 개발 주기가 짧아질 수밖에 없음

  • 두 번째는 공격 자동화임

    • AI는 취약점 탐색뿐 아니라 공격 코드 생성, 우회 기법 조합, 악성 코드 최적화까지 도울 수 있음
    • 대규모 언어 모델(LLM)은 보안 논문, 기존 해킹 사례, 오픈소스 공격 코드를 학습해 새로운 공격 패턴을 빠르게 구성할 수 있음

  • 세 번째는 방어 비용 증가임

    • 기업은 AI 기반 공격 속도에 맞춰 보안 인력, 실시간 패치 체계, 이상 행위 탐지를 강화해야 함
    • 하지만 대부분 조직은 이미 보안 인력 부족을 겪고 있음
    • 공격 생산성은 올라가는데 방어 조직의 처리량은 그대로면 병목이 더 심해짐

  • 네 번째는 국가 인프라 리스크임

    • 금융, 에너지, 국방, 의료 시스템의 취약점이 대량으로 발견되면 단일 기업 문제가 아니라 국가 핵심 인프라 문제가 됨
    • 그래서 미국 정부도 프런티어 AI 모델 감독 강화 방안을 검토 중인 것으로 알려짐

대응도 AI 중심으로 바뀌는 중

  • 전문가들은 기존 보안 체계만으로 AI 기반 공격을 막기 어렵다고 봄

    • AI 기반 보안(AI-native Security), 실시간 위협 탐지, 자동 패치 우선순위 분석이 필요하다는 쪽임
    • 사람이 모든 취약점 후보를 수동으로 검토하는 방식은 속도전에서 밀릴 수 있음

  • 제로 트러스트(Zero Trust) 확대도 같이 언급됨

    • 내부 시스템이라고 기본 신뢰하지 않고 계속 인증·검증하는 구조임
    • AI 시대에는 내부 계정 탈취와 lateral movement 위험이 더 빨라질 수 있기 때문임

  • 소프트웨어 공급망 보안도 더 중요해짐

    • AI는 오픈소스 라이브러리와 외부 모듈까지 동시에 분석할 수 있음
    • 공급망 취약점이 발견되면 단일 애플리케이션이 아니라 여러 서비스에 연쇄적으로 영향을 줄 수 있음

기술 맥락

  • 이번 사건의 핵심은 미토스가 애플 보안을 “마법처럼 뚫었다”가 아니에요. 인간 연구자가 알고 있던 취약점과 공격 기법을 훨씬 빠르게 조합하도록 도왔다는 점이 더 중요해요.

  • 메모리 무결성 강제 같은 방어 기술은 보통 공격자가 메모리를 변조하거나 악성 코드를 끼워 넣는 경로를 줄이기 위해 설계돼요. 그런데 두 개 이상의 취약점을 체인으로 묶으면, 각각은 제한적이어도 전체로는 권한 상승 같은 큰 공격 흐름이 될 수 있어요.

  • 보안 실무에서 이게 부담인 이유는 검증과 패치에는 시간이 걸리기 때문이에요. AI가 5일 만에 공격 코드를 만드는 속도로 취약점 후보를 쏟아내면, 기업 보안팀은 어떤 취약점을 먼저 막아야 하는지부터 자동화 없이는 감당하기 어려워져요.

  • 제로 트러스트와 공급망 보안이 같이 언급되는 것도 그래서예요. AI가 공격 표면을 넓게 훑고 조합할 수 있다면, 내부망 신뢰나 외부 라이브러리 신뢰 같은 오래된 전제가 더 위험해지거든요.

  • 결국 대응 방향은 공격자만 AI를 쓰는 상황을 막는 쪽이에요. 방어팀도 AI로 로그를 보고, 패치 우선순위를 세우고, 이상 행위를 잡아내야 속도 차이를 줄일 수 있어요.

AI 보안 위협의 핵심은 모델이 혼자 천재 해커가 됐다는 얘기가 아님. 인간 연구자가 하던 연결·조합·반복 실험을 AI가 엄청 빠르게 밀어주면서, 취약점 발견과 패치의 시간 싸움이 더 빡세졌다는 쪽이 진짜 본질이다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

한양대 에리카와 네이버클라우드, 클라우드·보안·AI 인재 키우는 산학협력 체결

한양대 에리카가 네이버클라우드와 첨단 분야 지역인재 양성과 글로벌 산학협력을 위한 업무협약을 맺었다. 협력 범위는 클라우드, 사이버보안, 블록체인, 개인정보보호, 인공지능(AI), 디지털 전환(DX) 교육·연구 기반 구축까지 포함된다.

security

악성 npm 패키지가 AI 개발도구의 지침 파일과 MCP까지 노리기 시작함

이스트시큐리티가 웹과 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 캠페인을 포착했어. 공격자는 유명 웹3 도구를 사칭하는 데서 그치지 않고, AI 에이전트가 읽는 프로젝트 지침 파일과 MCP 기반 외부 도구 호출까지 공격 경로로 삼으려 했어.

security

금융권, 앤트로픽 미토스가 찾은 오픈소스 취약점에 긴급 점검 들어감

앤트로픽의 AI 모델 클로드 미토스가 1000개 넘는 오픈소스에서 대량의 취약점 후보를 찾아냈고, 그중 일부가 실제 취약점으로 검증돼 공개됐어. 금융당국은 nginx, wolfSSL, FreeRDP, Ghost 같은 널리 쓰이는 구성요소를 중심으로 금융권에 긴급 자산 점검과 패치 적용을 권고했어.

security

애플이 양자 내성 암호화 검증 코드를 공개했다, 핵심은 수학적 증명

애플이 corecrypto 라이브러리의 포스트 양자 암호화 구현과 검증 코드를 GitHub에 공개했다. ML-KEM, ML-DSA 구현과 형식 검증 접근을 공개해 보안 연구자들이 직접 검토할 수 있게 했고, 이 기술은 25억 대 이상 활성 기기에서 쓰이는 암호화 기반과 연결된다.

security

라라벨 번역 패키지 태그가 통째로 바뀌었다, 개발자 비밀값 털리는 공급망 공격

전 세계 라라벨 개발자가 쓰는 Laravel-Lang 패키지가 공격을 받아 Git 태그가 악성 버전을 가리키도록 바뀌었다. 5월 22일 약 90분 동안 4개 저장소의 태그가 교체됐고, 감염된 패키지는 AWS 키, GitHub 토큰, Stripe 시크릿, 암호화폐 지갑 복구 구문, SSH 개인키 등을 노렸다.