애플의 최첨단 보안 기술을 우회하는 새로운 공격 기법이 발견되었다. 보안 전문가들은 지난 4월 앤트로픽의 초기 AI 소프트웨어인 '미토스(Mythos)'를 테스트하는 과정에서 이러한 기법을 찾아냈다고 밝혔다.

▲ 메모리 손상 통한 권한 상승… 맥(Mac) 보안의 심장부 침투

14일(현지 시각) 월스트리트저널(WSJ)에 따르면 팔로알토에 본사를 둔 보안 연구 기업 '칼리프(Calif)'의 연구진은 두 개의 버그와 여러 기술을 결합해 맥의 메모리를 오염시키는 소프트웨어를 개발했다.

이를 통해 접근이 불가능해야 하는 기기 영역에 진입하는 데 성공했다.

이번 공격은 이른바 '권한 상승 익스플로잇'으로 분류된다.

다른 공격 방식과 결합될 경우 해커가 컴퓨터의 전체 제어권을 장악할 수 있는 위험한 수준이다.

과거 구글에서 근무했던 보안 전문가 미하우 잘레프스키는 "애플이 맥OS 보안 강화에 막대한 노력을 기울여온 점을 고려할 때, 이번 기술은 매우 주목할 만하다"고 평가했다.

▲ 애플의 야심작 'MIE' 무력화… AI가 앞당긴 보안 위협

애플은 지난해 9월, 5년여의 설계 및 엔지니어링 역량을 집결한 '메모리 무결성 강제(MIE)' 기술을 발표하며 하드웨어와 운영체제의 완벽한 결합을 자신했다.

그러나 칼리프 측은 AI 모델인 '클로드(Claude)'를 활용해 단 5일 만에 맥OS의 버그를 악용하는 코드를 구축했다고 밝혔다.

이러한 AI 모델의 버그 탐지 능력은 최근 몇 달 사이 비약적으로 향상되었다.

실제로 앤트로픽의 AI는 올해 초 파이어폭스 브라우저에서 2주 만에 100개 이상의 심각한 취약점을 발견했는데, 이는 전 세계 보안 업계가 통상 두 달 동안 찾아내는 양과 맞먹는다.

전문가들은 이를 두고 전례 없는 보안 취약점 발견이 쏟아지는 '버그마게돈(Bugmageddon)'이 도래할 수 있다고 경고했다.

▲ AI와 인간 전문가의 협업… '창의적 해킹'의 새로운 지평

칼리프의 최고경영자 타이 즈엉은 이번 공격이 미토스 단독으로 이루어진 것은 아니라고 설명했다. 미토스는 기존에 문서화된 공격을 재현하는 데는 탁월하지만, 완전히 새로운 공격 기법을 스스로 창안하는 단계는 아니기 때문이다.

따라서 이번 성과는 미토스의 연산 능력과 칼리프 소속 해커들의 전문적인 인간 지능이 결합된 결과로 풀이된다.

잘레프스키 역시 미토스에 대한 일부 과장된 평가는 경계해야 하지만, 최신 AI 도구가 의미 있는 취약점 연구 및 코드 감사에 활용될 수 있다는 점은 분명하다고 덧붙였다.

▲ 백악관 AI 정책 급선회… '방임'에서 '감독'으로

연구진은 지난 화요일 애플의 쿠퍼티노 본사를 직접 방문해 55페이지 분량의 보고서를 전달했다.

애플 측은 "보안은 우리의 최우선 과제이며 제보된 취약점을 진지하게 검토 중"이라고 밝혔다. 해당 버그는 조만간 패치될 예정이며, 상세 내용은 패치 이후 공개될 예정이다.

한편, AI 모델의 강력한 성능이 입증되면서 미 정부의 대응도 긴박해졌다. 당초 앤트로픽의 미토스 접근 확대에 반대했던 백악관은 최신 AI 모델의 위험성을 재평가하고 있다.

연방 공무원들은 가장 앞선 AI 모델에 대해 정부가 직접 감독권을 갖는 행정명령을 검토하는 등, 기존의 자유방임적 개발 환경에서 규제 강화로 정책 방향을 선회하고 있다.