"누가 누가 취약점 더 잘 찾나"…앤트로픽 미토스에 맞붙은 MS 작성일 05-16 18 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">[Weekly Threat] MS 'MDASH' 공개부터 맥OS 위협까지</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="FW3EjYZvWB"> <div contents-hash="f3c2a0749d70a90e51eb0fd4bbde47ab7120624a200a9147fd91c40ec16ac711" dmcf-pid="3Y0DAG5TTq" dmcf-ptype="general"> <strong>보안사고는 '일상'입니다. 이번 주 국내외에서 발생한 주요 사이버 위협과 사건·사고를 소개합니다. 최신 소식이 궁금하다면, '위클리 쓰렛(Weekly Threat)'을 확인해 보세요. <편집자주></strong> </div> <figure class="figure_frm origin_fig" contents-hash="2110d0a19d1784bfee3d6cab1de03cd0f988e450f344da25c73620d2a35b0dcf" dmcf-pid="0sWneOlwvz" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/16/552796-pzfp7fF/20260516184220592pegm.jpg" data-org-width="480" dmcf-mid="5jLUFQe4h9" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/16/552796-pzfp7fF/20260516184220592pegm.jpg" width="658"></p> </figure> <p contents-hash="4cbecd77f7cc9fc5b8dddeb86116e55add600a8a8ea79d90bdd66b002c850423" dmcf-pid="pOYLdISrv7" dmcf-ptype="general">[디지털데일리 김보민기자] 앤트로픽이 촉발한 '취약점 찾는 인공지능(AI)' 대전이 본격화됐다. 마이크로소프트(MS)는 AI 에이전트를 동원해 소프트웨어 취약점을 찾아내는 보안 탐지 시스템 'MDASH'를 공개하며, 앤트로픽 '클로드 미토스 프리뷰'보다 뛰어난 역량을 갖추고 있다고 자신했다. 오픈AI도 'GPT-5.5' 모델을 내세우고 있는 만큼 신경전이 치열해질 전망이다.</p> <p contents-hash="4dcafbe857cb92b3fd786e3b3a7ecca880c7aea81976e96007b8fd2a264e6024" dmcf-pid="UIGoJCvmyu" dmcf-ptype="general">미토스 위력을 경계하는 목소리도 이어졌다. 미국 보안기업 칼리프 소속 연구원들은 미토스를 활용해 애플의 첨단 보안 기술을 우회했다고 보고했다. 오는 7월 미토스 관련 취약점이 대거 공개될 것으로 예상되는 가운데 해커가 이를 악용할 가능성도 점쳐진다.</p> <p contents-hash="cc2cf11ee966cacfcb9f19c8a74dd4a8f536976724b37e17d34f6785f62bd711" dmcf-pid="uCHgihTsTU" dmcf-ptype="general">이러한 분위기 속 정부는 미토스와 같은 고성능 AI 출현에도 보안 환경에 대한 본질이 변하지 않는다는 입장을 표했다. 지난해 대규모 개인정보 유출이 발생한 쿠팡과 KT에 대한 세부 조사도 마무리됐다고 밝혔다. 과징금을 비롯한 제재 발표가 남은 가운데, 정부는 엄정 대응하겠다는 기존 입장을 재확인했다.</p> <p contents-hash="021e7590d84bbe4d13948d23e9e881a049596ed99913520dad639ec40bc14319" dmcf-pid="7hXanlyOSp" dmcf-ptype="general"><strong>◆ MS "MDASH, 업계 최고 점수 88% 기록…단일 모델으론 한계"</strong></p> <p contents-hash="954e26a000efab0bbc89cb6a1ae80484bb7187476c20e7ef530cf164226ef4ea" dmcf-pid="zlZNLSWIh0" dmcf-ptype="general">MS는 12일(현지시간) 신규 멀티모델 에이전트 스캐닝 도구 'MDASH'를 발표했다. MS는 "MDASH라는 코드명을 가진 이 시스템은 본질적으로 에이전트 기반 취약점을 탐지하고 해결하는 시스템"이라며 "현재 MS 보안 엔지니어링 팀에서 사용 중이며, 비공개 프리뷰 형태로 소수 고객 대상 테스트가 진행되고 있다"고 밝혔다.</p> <p contents-hash="8839a37c821f12177d2739235cac7f990f14cdec30aa0effb965da40e3157986" dmcf-pid="qS5jovYCS3" dmcf-ptype="general">MS는 MDASH가 현존하는 AI 대비 취약점 탐지율이 우수하다고 자신했다. 해당 블로그에 인용된 '사이버짐' 벤치마크에 따르면 MDASH는 취약점 과제 1507개를 대상으로 최고 점수인 88.45%를 달성했다. 클로드 미토스는 83.1%, 오픈AI GPT-5.5는 81.8%를 기록했다.</p> <p contents-hash="d4c39f1f327f77096d8c23a39c4d11b3f78dd431a2991496aecc2268fa8e1355" dmcf-pid="Bv1AgTGhSF" dmcf-ptype="general">MS는 MDASH를 활용해 윈도 네트워크 스택과 관련 서비스 전반에 걸쳐 공통취약점및노출(CVE) 16개를 발견했다고도 보고했다. 원격 코드 실행, 분산서비스거부(디도스), 보안 기능 우회와 같은 취약점이 대다수였다.</p> <div contents-hash="ec7b190824204a55d21601ee9516910ed24cde275254a5e84a90bdce780b8eff" dmcf-pid="bTtcayHlTt" dmcf-ptype="general"> MS는 "AI 기반 취약점 발견은 더 이상 추측에 그치지 않고 엔지니어링 문제로 발전하고 있다"고 강조했다. 단일 AI 모델에 의존하지 않고 100개 이상 특화 에이전트를 조율한다는 점도 강점으로 꼽았다. MS는 "모델은 하나의 입력 값일 뿐 작업은 도구 자체가 수행한다"며 "AI 취약점 분석에 던져야 할 올바른 질문은 '어떤 모델을 사용하는가'가 아닌, '그 모델을 어떻게 활용하는가'이다"라고 말했다. </div> <figure class="figure_frm origin_fig" contents-hash="503cf978226701497a783fdab69ffb41722e66170b1be549cb52792c1d630af1" dmcf-pid="KyFkNWXST1" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/16/552796-pzfp7fF/20260516184221957utaw.jpg" data-org-width="640" dmcf-mid="1bYLdISrSK" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/16/552796-pzfp7fF/20260516184221957utaw.jpg" width="658"></p> </figure> <p contents-hash="d23728b201644eeabec8940d6bcbb733a849e7f7175f9f525b878662f00a067f" dmcf-pid="974WSzKpl5" dmcf-ptype="general"><strong>◆ 애플 맥OS도 뚫는다…"완전히 새로운 침투 방식은 아냐"</strong></p> <p contents-hash="3bf14ae0c88d144f0befb8dfe28f3727e4df22fc78e39c377084719fe4bd98fb" dmcf-pid="2z8Yvq9UWZ" dmcf-ptype="general">이처럼 미토스 위력을 주목하는 목소리가 이어지는 가운데, '철옹성'이라 불린 애플의 첨단 보안 기술을 우회할 방법을 포착했다는 소식이 나왔다. 월스트리트저널은 14일(현지시간) 미국 보안 연구기업 칼리프(Calif)가 최근 애플 데스크톱 운영체제(OS) '맥OS'에서 취약점 2개를 발견했고 이 과정에서 앤트로픽 미토스가 활용됐다고 밝혔다.</p> <p contents-hash="96a3b0b333ddfaa5079f01fa90778d4d258c4ee16454f751aad29c13eb3c18bc" dmcf-pid="Vq6GTB2uvX" dmcf-ptype="general">연구진은 버그 등 기법을 활용해 메모리를 손상시키고, 일반적으로 접근이 제한된 시스템 영역까지 침투할 수 있었다고 설명했다. 그간 애플은 맥OS 보안을 강화하기 위해 막대한 자원을 투입해왔다. 지난해에는 메모리 무결성 강화 기술인 'MIE'를 공개하며 "5년에 걸친 설계·엔지니어링 노력의 결실"이라고 강조하기도 했다.</p> <div contents-hash="c9c686b26cf81144a4d1425fa4e7e15903d138d56275dd2a48c82ee4b33d09aa" dmcf-pid="fBPHybV7TH" dmcf-ptype="general"> 칼리프는 AI를 활용해 해당 취약점을 공략하는 코드를 5일 만에 완성했다고 강조했다. 다만 미토스 단독으로 침투가 가능했던 것은 아니며, 실제 해킹 과정에는 연구진 보안 지식과 수작업 분석이 필요했다고 덧붙였다. 기존 공격 기법을 재현하는 데 뛰어나지만 완전히 새로운 침투 방식을 스스로 만들어내는 단계를 아니라는 취지다. </div> <figure class="figure_frm origin_fig" contents-hash="e5fcc8f867c03cb43221414f590023ab8e391536ce0f9f0958b3e76466c19d1f" dmcf-pid="4bQXWKfzCG" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/16/552796-pzfp7fF/20260516184222265evxo.jpg" data-org-width="640" dmcf-mid="tOVThuB3hb" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/16/552796-pzfp7fF/20260516184222265evxo.jpg" width="658"></p> </figure> <p contents-hash="d1b46bb72b90ec45c303cdd87d6e92e8c9a947815950f87b720e7162c45ccdf2" dmcf-pid="8KxZY94qSY" dmcf-ptype="general"><strong>◆ 정부, 미토스 우려 속 '보안 기본기' 강조…쿠팡·KT 조사 마무리</strong></p> <p contents-hash="4ea202f9b62ecc69d85547fb5a43b420d71c9f24619d907b805c676f918092dc" dmcf-pid="69M5G28BCW" dmcf-ptype="general">정부도 상황을 예의주시하고 있다. 송경희 개인정보보호위원회 위원장은 12일 브리핑에 나온 미토스 관련 질의에 "개인정보가 안전하게 관리되도록 체계를 갖춰 놓으면 어떤 종류의 공격이 있더라도 조기에 탐지하고 차단할 수 있을 것"이라고 답했다. 이어 "사람 중심 관리·방어 체계에서 앞으로 모든 걸 AI, AI 에이전트가 할 수 있다는 가정 하에 대응하는 체제로 갖춰 나가야 한다고 생각한다"고 덧붙였다.</p> <p contents-hash="8cfd58029b3713b7b519ad099dd51830e7bc383fa6d2b66829fd4805b8610ad3" dmcf-pid="P2R1HV6bTy" dmcf-ptype="general">한편 지난해 대규모 개인정보 유출 사고를 낸 쿠팡과 KT에 대해서는 조사가 마무리됐다고 밝혔다. 송 위원장은 12일 정부서울청사에서 브리핑을 열고 "쿠팡과 KT 모두 조사가 마무리됐고 사전통지 후 의견을 받고 있다"며 "행정절차법에 따라 사업자 의견 제출을 받고, 조사한 사실에 근거해 검토를 마무리한 뒤 전체회의에 논의해 처분할 것"이라고 말했다.</p> <p contents-hash="792e1a556f073342484be1fa5d50e85cda25bbbfcdef0887fd90ecf14a1920e0" dmcf-pid="QVetXfPKTT" dmcf-ptype="general">개인정보위 조사 및 처분 규정에 따르면 조사관은 조사 결과 보고서를 기반으로 처분 내용을 당사자(기업)에게 사전통지하고 의견 제출 기회를 보장해야 한다. 쿠팡의 경우 제출한 의견서에서 개인정보위 처분 방향에 동의하기 어렵다는 취지로 의견서를 낸 것으로 전해진다. 의견 제출 절차가 끝나면 개인정보위는 이를 전체회의에 상정해 처분 규모와 방향을 결정하게 된다. 송 위원장은 "그렇게 오래 걸릴 것으로 생각하지 않는다"며 "책임에 상응하는 적절한 처벌을 내리기 위해 노력할 것"이라고 강조했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 조세호, '최진실 딸' 최준희 결혼식 사회 포착…살 오른 얼굴 '활동중단' 근황 [엑's 이슈] 05-16 다음 유재석, 태도 논란 후 수척해진 양상국에 “스타 될 때 조심해야, 앞으로 안 그러면 돼”(놀뭐) 05-16 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
