앤트로픽 미토스(Mythos) AI, 애플 맥OS 취약점 발견 | 프로젝트 글래스윙 총정리

 

 

이번에 정말 충격적인 뉴스가 나왔습니다.

앤트로픽(Anthropic)의 차세대 AI 모델 미토스(Claude Mythos Preview)가

애플 맥OS(macOS)의 핵심 보안 기술을 우회하는 데 활용되었다는 소식인데요...

 

솔직히 처음 이 뉴스를 접했을 때, 소름이 돋았습니다.

AI가 이 정도까지 왔구나 싶었거든요.

 

 

무슨 일이 있었나요?

 

지난 5월 14일(현지시간), 월스트리트저널(WSJ)이 보도한 내용입니다.

팔로알토 소재 보안 연구기업 캘리프(Calif)의 연구진이

미토스를 활용해 애플 macOS의 핵심 보안 기술을 우회하는 새로운 공격 기법을 발견했다고 합니다.

 

구체적으로 어떤 공격이냐면...

macOS에서 두 가지 미공개 취약점을 연결(체이닝)해서

시스템 메모리를 손상시키고, 일반 사용자가 루트(root) 권한까지 획득할 수 있는

권한 상승 익스플로잇(Privilege Escalation Exploit)을 개발한 것입니다.

 

쉽게 말해, 일반 사용자 권한으로 실행하는 명령어 하나로

맥을 완전히 장악할 수 있는 수준의 취약점이라는 거죠!

 

 

애플의 MIE, 5년짜리 보안이 5일 만에 뚫렸다

 

이번 사건에서 특히 주목해야 할 것이 MIE(Memory Integrity Enforcement)입니다.

 

애플이 2025년 9월, iPhone 17 라인업과 함께 출시한 A19 칩에 도입한 기술로,

하드웨어 수준에서 메모리 손상 공격을 원천 차단하는 핵심 보안 기능입니다.

 

애플이 5년에 걸쳐 개발하고 수십억 달러를 투자한 기술인데...

캘리프 연구팀은 미토스를 활용한 지 단 5일 만에 이를 우회하는 방법을 찾아냈습니다.

 

캘리프 팀이 남긴 말이 정말 인상적이더라고요.

"애플이 5년과 수십억 달러를 들여 만든 것을 우리는 5일 만에 뚫었다."

 

이번 공격 대상은 M5 칩이 탑재된 맥 + macOS 26.4.1 환경이었으며,

연구팀은 이것이 'M5 실리콘 기반 맥OS 커널 메모리 손상의 최초 공개 익스플로잇'이라고 밝혔습니다.

 

 

미토스(Mythos)는 어떤 AI인가요?

 

미토스는 앤트로픽이 개발한 차세대 프론티어 모델로,

현재 일반에는 공개되지 않은 비공개 AI 모델입니다.

 

왜 공개하지 않냐고요?

그 이유가 충격적입니다. 앤트로픽 스스로 이 모델이 "보안 취약점을 찾는 능력이 너무 뛰어나서" 공개하면 안 된다고 판단했기 때문입니다.

 

실제로 미토스가 보여준 능력들을 보면...

 

- 파이어폭스(Firefox)에서 취약점 271개 발견 - 단일 평가에서!

- OpenBSD에서 27년 된 취약점 발견 (TCP SACK 구현의 서비스 거부 취약점)

- FFmpeg에서 16년 된 취약점 발견

- FreeBSD에서 17년 된 원격 코드 실행 취약점 자율 발견 및 익스플로잇 완성 (인간 개입 없이!)

- 모든 주요 OS 및 웹 브라우저에서 수천 개의 제로데이 취약점 식별

 

파이어폭스 취약점 271개의 경우, 모질라 측에서 직접 이렇게 말했습니다.

"인간 엘리트 연구자가 찾을 수 있는 취약점 중 미토스가 찾지 못한 범주나 복잡도의 취약점은 없었다."

 

어마어마하죠...?

 

 

프로젝트 글래스윙(Project Glasswing)이란?

 

그렇다면 앤트로픽은 이 위험한 AI를 왜 만들었을까요?

 

앤트로픽은 미토스를 활용한 '프로젝트 글래스윙(Project Glasswing)'을 2026년 4월 론칭했습니다.

AI로 AI 사이버 공격을 막겠다는 취지의 방어적 보안 이니셔티브입니다.

 

참여 기업들이 정말 화려합니다!

- AWS, 애플, 브로드컴, 시스코, 크라우드스트라이크, 구글

- JP모건체이스, 리눅스 재단, 마이크로소프트, NVIDIA, 팔로알토 네트웍스

 

앤트로픽은 이 프로젝트에 최대 1억 달러(약 1,400억 원)의 사용 크레딧을 투입하고,

오픈소스 보안 단체에 400만 달러를 직접 기부한다고 밝혔습니다.

 

글래스윙 나비(Greta oto)의 투명한 날개처럼 - 취약점을 눈에 보이게 만들겠다는 상징적 이름이 인상적이네요.

 

 

AI 단독으로는 불가능? 인간과의 협업이 핵심!

 

이번 애플 맥OS 공격에서 중요한 점이 하나 있습니다.

캘리프 CEO 타이 동(Thai Duong)은 이렇게 말했습니다.

 

"이 공격은 미토스만으로는 불가능했으며, 캘리프 해커들의 인간적 사이버보안 전문성을 십분 활용한 결과입니다."

 

미토스는 기존에 알려진 취약점 클래스(bug class)를 기반으로 빠르게 식별하는 데 강점이 있고,

완전히 새로운 공격 기법을 독자적으로 발명하는 것은 아직 인간 연구자의 영역이라는 거죠.

 

연구팀은 55페이지 분량의 보고서를 작성해

직접 애플 쿠퍼티노 본사를 방문해 전달했습니다.

 

애플은 현재 패치 작업 중이며,

일부는 macOS Tahoe 26.5 릴리즈 노트에 캘리프와 클로드 앤트로픽 리서치의 기여로 명시된 것으로 알려졌습니다.

 

 

버그마겟돈(Bugmageddon) 시대가 온다?

 

보안 전문가들 사이에서 *'버그마겟돈(Bugmageddon)' 이라는 신조어가 회자되고 있습니다.

AI 지원 취약점 발견이 폭발적으로 증가하면서, 패치를 담당하는 조직이 따라가지 못하는 상황을 말하는 것인데요.

 

실제로 공개 취약점의 최초 발견부터 첫 악용까지 걸리는 시간이

2018년 771일에서 2024년에는 단 몇 시간으로 줄었다고 합니다.

 

미토스가 찾아낸 취약점 중 패치된 비율이 1%도 안 된다는 지적도 있습니다.

발견하는 속도를 패치 속도가 따라가지 못하는 거죠.

 

 

마무리하며...

 

이번 미토스와 맥OS 사건은 단순한 보안 뉴스가 아닙니다.

AI가 국가급 보안 시스템까지 분석하고 공격할 수 있는 수준에 진입했다는 신호탄입니다.

 

다행인 점은, 이번 사례처럼 선의의 연구자들이 먼저 발견해서 애플에 알려줬다는 것!

하지만 동일한 AI 능력이 악의적인 목적으로 사용된다면...? 생각만 해도 아찔합니다.

 

AI 시대의 사이버 보안은 이제 완전히 새로운 국면에 접어들었습니다.

공격과 방어, 모두 AI가 주도하는 시대 - 우리 개발자들도 주목해야 할 변화입니다!

 

 

 

#앤트로픽 #Mythos #미토스 #Apple #맥OS #보안취약점 #ProjectGlasswing #글래스윙 #사이버보안 #AI보안 #제로데이 #MIE #권한상승 #클로드 #Claude #버그마겟돈 #AI사이버전