앤트로픽의 초고성능 AI 모델 '미토스'가 애플의 차세대 보안 기술이 집약된 맥(Mac) OS(운영체제)를 단 5일 만에 뚫으면서 세계 보안 업계 '버그마겟돈'(Bugmageddon·버그+아마겟돈) 공포가 커진다. AI가 단시간 내 수많은 시스템의 취약점을 찾아내면서 '재앙' 수준의 사이버 위협이 잇따를 수 있다는 분석이다. 이에 민·관이 유기적으로 협력하는 국가 차원의 대응 체계 구축이 시급하다는 지적이 나온다.

17일 월스트리트저널(WSJ) 등 주요 외신에 따르면 미 보안업체 캘리프(Calif) 연구진은 지난달 미토스 초기 버전을 활용해 애플의 핵심 보안 기술을 우회하는 공격 코드를 개발하는 데 성공했다. 연구진은 두 개의 버그와 다중 우회 기법을 결합해 맥 OS의 커널 메모리를 제어하고, 접근이 금지된 내부 보안 영역까지 침투했다. 이 과정에 걸린 시간은 단 5일이다.

이는 허용된 권한보다 더 높은 권한을 탈취하는 '권한 상승' 방식으로, 최악의 경우 해커가 사용자 컴퓨터를 완전히 장악할 수 있다. 특히 애플이 지난해 9월 "5년에 걸친 전례 없는 설계와 엔지니어링의 결과물"이라며 자신 있게 내놓은 차세대 보안 기술 '메모리 무결성 강화(MIE)'가 무방비로 뚫렸다는 점에서 충격이 배가되고 있다.
"미토스는 시작일뿐, 더 강력한 AI 공습 온다"

보안 전문가들은 "미토스는 시작일 뿐"이라고 말한다.

실제 영국 AI안전연구소(AISI)가 프런티어 AI 모델의 역량을 분석한 결과, 오픈AI의 차세대 모델 'GPT-5.5'가 전문가 수준의 과제에서 71.4%의 합격률을 기록하며 미토스(68.6%)를 앞질렀다. AISI는 "사이버 공격 기술이 AI의 장기 자율성(Long-horizon autonomy), 추론, 코딩 능력 발전에서 파생되는 것이라면 향후 AI모델의 역량은 더 빠른 속도로 향상될 것"이라고 분석했다.

마이크로소프트(MS)도 최근 여러 AI 모델과 100개 이상의 특화 에이전트를 조합한 취약점 탐지 시스템 'MDASH'를 공개했다. MDASH는 1507개의 취약점 과제로 구성된 '사이버짐' 벤치마크에서 88.45%를 기록했다. 최고점으로 미토스(83.1%), GPT-5.5(81.8%)를 모두 제쳤다. MS는 현재 이 시스템을 일부 고객사에만 프리뷰 형태로 제공 중이다.
취약점 정보 상시 공유…'K-글래스윙' 만들어야 AI 해킹 기술의 진화 속도가 인간의 대응 속도를 압도하는 변곡점이 다가오면서 정부도 발 빠르게 움직이고 있다. 과학기술정보통신부는 앤트로픽과 오픈AI가 자사 모델을 제한적으로 공개하는 '프로젝트 글래스윙' 및 'TAC'(Trusted Access for Cyber) 참여를 타진 중이다. 이르면 이달 말 AI 기반 사이버 위협에 대한 구체적인 대응 방안도 발표할 예정이다.

국내에서도 이같은 연합체를 꾸려야 한다는 목소리가 높다. 국내 보안업체 티오리는 민·관이 공동으로 위험 정보를 공유하는 '프로젝트 캐노피'를 추진 중이다. 염흥열 순천향대 정보보호학과 명예교수는 "AI 해킹 시대에는 대응 시간도 획기적으로 단축해야 한다"며 "기존 사이버위협정보 분석 공유시스템(CTAS)을 고도화해 정부·공공·금융·민간이 상시로 취약점 정보를 공유하고 패치·복구하는 통합 대응 플랫폼을 구축해야 한다"고 제언했다.

윤인수 KAIST 전기및전자공학부 교수는 "개별 기업·기관의 경우 단기적으론 철저한 IT 자산관리, 중장기적으론 '제로 트러스트(Zero-trust)' 시스템을 도입해야 한다"면서 "궁극적으론 우리나라도 동급의 사이버 역량을 보유한 AI 모델을 확보해야 한다"고 말했다.