미국 보안 연구진이 애플의 최첨단 맥OS 보안 기술을 우회하는 새로운 공격 기법을 발견했는데, 이 과정에서 앤트로픽의 AI 모델 ‘미소스(Mythos)’가 활용된 것으로 알려졌다. 애플이 5년간 개발했다고 자랑한 기술이 불과 5일 만에 뚫린 것으로 알려지며, 충격을 안겼다.
14일(현지시간) 월스트리트저널(WSJ)에 따르면, 미국 보안 연구기업 칼리프(Calif)는 지난 4월 앤트로픽의 초기 버전 미소스를 테스트하던 중 맥OS의 보안 체계를 무력화할 수 있는 새로운 취약점 조합을 발견했다.
칼리프 연구진에 따르면, 이 공격은 2개의 버그와 여러 공격 기법을 연결해 맥의 메모리를 손상시키고, 원래 접근할 수 없어야 하는 시스템 영역까지 권한을 확장하는 방식이다. 이른바 ‘권한 상승(privilege escalation)’ 공격으로 분류된다.
권한 상승 공격 자체만으로 시스템 전체를 장악할 수 있는 것은 아니지만, 다른 해킹 기법과 결합되면 공격자가 컴퓨터 통제권을 획득할 가능성이 있다.
이번 공격 사례는 애플이 지난해 공개한 보안 기술 ‘MIE(Memory Integrity Enforcement)’를 겨냥했다. 애플은 당시 MIE를 “5년에 걸친 전례 없는 설계 및 엔지니어링 노력의 결과물”이라고 강조했다.
하지만 칼리프 연구진은 앤트로픽의 클로드 계열 AI를 활용해 불과 5일 만에 취약점을 악용하는 코드를 작성했다고 밝혔다.
다만 AI 혼자서 새로운 공격 기법을 완전히 만든 것은 아니라고 강조했다. 타이 두엉 칼리프 CEO는 “미소스는 기존에 알려진 공격 기법을 재현하는 데 매우 뛰어나지만, 완전히 새로운 공격 기법을 스스로 만들어내는 단계는 아직 아니다”라고 설명했다.
그럼에도 전문가들은 최신 AI가 이미 실제 보안 연구와 코드 감사(code auditing)에 충분히 활용 가능한 수준에 도달했다고 보고 있다.
칼리프 연구진도 이번 발견에 큰 의미를 부여하고 있다. 이들은 지난 12일 직접 쿠퍼티노 애플 본사까지 찾아가 55페이지 분량의 기술 보고서를 전달했다. 연구진은 애플이 취약점을 수정한 이후 공격 세부 내용을 공개할 계획이라고 밝혔다.
애플은 현재 칼리프 연구진이 제출한 보고서를 검토하며 취약점 내용을 검증 중이다. “보안은 최우선 과제이며, 잠재적 취약점 보고를 매우 심각하게 받아들이고 있다”라고 밝혔다.
전문가들은 AI의 취약점 탐지 능력이 급격히 발전하고 있다는 점에 주목하고 있다. 최근 앤트로픽과 오픈AI의 최신 AI 모델들은 과거보다 훨씬 빠르고 광범위하게 보안 결함을 찾아내고 있다.
실제로 미소스는 2주 만에 웹브라우저 파이어폭스에서 100개 이상의 고위험 취약점을 발견했다. 이는 통상 전 세계 보안 연구자들이 2달에 걸쳐 발견하는 규모와 맞먹는다.
이 때문에 보안 업계에서는 ‘버그마게돈(Bugmageddon)’이라는 표현까지 등장하고 있다. AI가 대규모 취약점을 한꺼번에 발견하면서 보안 패치 부담이 폭증하고, 동시에 사이버 공격 위험도 전례 없이 커질 수 있다는 의미다.
박찬 기자 cpark@aitimes.com