미토스·보안전문가 협업 5일 만에 애플 '맥OS 뚫었다

등록 2026.05.17 16:24:23

5년 공들인 애플 'MIE' 방어선, 5일 만에 무너져

캘리프 "인간 전문가 협업이 결정적"

[뉴욕=AP/뉴시스] 12일 NHK 등 일본 언론에 따르면 다카이치 사나에(高市早苗) 일본 총리는 이날 각료 간담회에서 마쓰모토 히사시 디지털상(사이버안전보장 담당상)에게 관련 대책을 조속히 마련하라고 지시했다. 사진은 2026년 2월26일 미국 뉴욕의 한 컴퓨터 화면에 미국 인공지능(AI) 기업 앤스로픽의 웹사이트 페이지와 기업 로고가 띄워져 있는 모습. 2026.05.13.

[서울=뉴시스]오동현 기자 = 앤트로픽의 인공지능(AI) 모델 '미토스'를 활용해 애플 맥OS(운영체제)의 최신 보안 기술을 우회하는 데 성공한 사례가 공개됐다. 단 5일 만에 공격용 코드가 완성되면서 생성형 AI가 사이버 공격 영역에서 실제 위협 수준의 역량을 갖췄다는 평가가 나온다.

월스트리트저널(WSJ)은 14일(현지시간) 미국 보안업체 캘리프(Calif)가 앤트로픽의 AI 모델 '미토스 프리뷰(Mythos Preview)'를 활용해 애플 M5 칩 기반 맥OS의 커널 메모리 손상 취약점을 발견했다고 보도했다.

캘리프 연구진은 맥OS 내부 소프트웨어 버그 두 개와 여러 공격 기법을 연결해 시스템 메모리를 손상시키고, 접근이 차단된 영역까지 권한을 확장하는 '권한 상승(privilege escalation)' 익스플로잇을 구현했다. 이 공격이 다른 공격 기법과 결합될 경우 해커가 컴퓨터 전체를 장악할 수 있는 수준이라고 WSJ는 전했다.

이번 사례는 애플 M5 실리콘에 적용된 '메모리 무결성 강제(MIE·)' 보호 기능을 우회한 최초의 공개 사례라는 점에서 주목받는다. 애플은 지난해 9월 ARM의 메모리 태깅 익스텐션(MTE) 사양을 기반으로 한 하드웨어 보조 메모리 안전 시스템인 MIE를 발표하며 "전례 없는 설계·엔지니어링 노력의 결정체"라고 설명한 바 있다.

5일 만에 공격 코드 완성…"인간 전문가 협업이 결정적"

캘리프는 클로드 미토스 프리뷰를 활용해 맥OS의 두 가지 버그를 악용한 공격 코드를 만드는 데 5일이 걸렸다고 밝혔다. AI가 기존에 알려진 유형의 버그를 빠르게 찾아내고, 인간 연구자가 공격 코드 설계를 주도한 것으로 전해졌다.

캘리프의 타이 두옹(Thai Duong) 최고경영자(CEO)는 WSJ에 "이번 공격은 미토스 단독으로는 해낼 수 없었으며, 캘리프 해커들의 인간 전문성이 결합한 결과"라고 설명했다.

두옹 CEO는 "미토스는 이미 알려진 공격 기법을 재현하는 데 매우 뛰어나다"며 "AI가 완전히 새로운 공격 기법을 만들어내는 사례는 아직 보지 못했다. 이번 사례는 새로운 형태의 결과물"이라고 덧붙였다.

구글 보안연구원 출신인 미하우 잘레프스키(Michał Zalewski)는 캘리프의 연구를 검토한 뒤 "맥OS는 해커들에게 가장 까다로운 표적 중 하나이기 때문에 이번 기법은 주목할 만하다"고 평가했다. 그는 다만 "미토스를 둘러싼 일부 과대평가가 있다"면서도 "최신 도구를 의미 있는 취약점 연구와 코드 감사에 사용하는 것이 가능하다는 점은 입증됐다"고 말했다.

캘리프 연구진은 애플 본사를 직접 방문해 55페이지 분량의 기술 보고서를 전달했다. 연구진은 애플이 취약점을 수정한 이후 구체적인 공격 기법을 공개할 계획이다.

애플 측은 WSJ에 "보안은 최우선 과제이며, 잠재적 취약점 제보를 매우 심각하게 받아들이고 있다"는 입장을 밝혔다. 두옹 CEO는 "버그는 비교적 빨리 수정될 것으로 본다"고 말했다.

◎공감언론 뉴시스 [email protected]