AI, 사이버 보안의 판도를 바꾸다: 제로데이 공격 자동화!

Anthropic은 Claude Mythos Preview 모델을 활용하여 제로데이 취약점을 탐지하고, 이를 익스플로잇하는 데 성공했다. 특히, 27년 된 OpenBSD의 SACK 구현 버그를 찾아내어 시스템을 크래시시키는 익스플로잇을 생성했다. 또한, 16년 된 FFmpeg의 H.264 코덱 취약점을 발견하고, 메모리 안전성(Memory Safety)이 보장된 VMM(Virtual Machine Monitor)에서 메모리 손상 취약점을 찾아냈다. 이러한 능력은 모델의 코드 이해 능력(Code Understanding)과 자동화된 공격 시나리오 생성(Automated Attack Scenario Generation) 능력이 결합된 결과로 분석된다.

Mythos Preview는 FreeBSD NFS 서버의 17년 된 원격 코드 실행 취약점(CVE-2026-4747)을 자율적으로 익스플로잇하여 root 권한을 획득했다. 이 과정에서 모델은 취약점 분석(Vulnerability Analysis), ROP 체인(ROP Chain) 생성, 그리고 멀티 패킷 공격(Multi-packet Attack)을 통해 공격을 수행했다. 특히, 스택 보호(Stack Protection)가 제대로 적용되지 않은 환경에서 스택 오버플로우(Stack Overflow)를 활용하여 공격을 성공시켰다는 점이 주목할 만하다. 이는 모델의 취약점 분석 능력(Vulnerability Analysis)과 익스플로잇 생성 능력(Exploit Generation)의 강력함을 보여준다.

Mythos Preview는 이미 패치된 N-day 취약점을 활용하여 익스플로잇을 생성하는 능력도 보여주었다. 특히, 2024년 11월에 발견된 netfilter의 ipset 버그를 이용하여 커널 메모리의 특정 비트를 조작하는 익스플로잇을 개발했다. 이 과정에서 모델은 KASAN(Kernel Address Sanitizer) 분석을 통해 취약점을 파악하고, SLUB 할당자(SLUB Allocator)의 동작 방식을 이해하여 익스플로잇을 구성했다. 이러한 능력은 모델이 단순히 취약점을 찾는 것을 넘어, 실제 공격에 활용될 수 있는 익스플로잇을 생성할 수 있음을 시사한다.

Claude Mythos Preview와 같은 AI 모델의 등장은 사이버 보안 분야에 큰 변화를 가져올 것으로 예상된다. 모델은 제로데이 취약점 탐지 및 익스플로잇 자동화를 통해 공격자의 공격 효율성(Attack Efficiency)을 높일 수 있다. 하지만, 동시에 방어자는 이러한 모델을 활용하여 취약점을 사전에 발견하고 패치하는 데 활용할 수 있다. 궁극적으로, AI 모델을 얼마나 효과적으로 활용하는가에 따라 사이버 보안의 균형이 결정될 것이다. 특히, 데이터 미저장 정책(Zero-Retention Policy)을 통해 모델의 안전성을 확보하는 것이 중요하다.