한 보안 연구팀이 클로드 미토스(Claude Mythos)를 활용해 애플 M5 칩에서 최초로 알려진 익스플로잇을 발견했다. 물리적 접근이 필요한 접근이었고 취약점은 이미 패치됐으므로 심각한 위협으로 볼 필요는 없다. 그러나 AI 시대에 공격자가 시스템 취약점을 위험할 만큼 빠른 속도로 찾아내고 악용할 수 있다는 냉혹한 경고임은 분명하다.

이미 널리 보도됐지만, 이 개념 증명 익스플로잇은 기기에 직접 물리적으로 접근해야 한다는 점에서 실질적 위협이 낮았다. 그러나 새로운 보안 현실을 매우 현실적으로 보여준다는 점에서 그 의미는 결코 작지 않다.

AI는 아군과 적군 가리지 않아

AI는 공격자를 포함해 모든 이의 생산성을 높인다. 이번 사례에서 AI 기술은 보안 연구팀의 역량을 강화해 애플 보안 시스템의 약점을 찾아내는 데 기여했다. AI가 발견하기 어려운 버그를 찾아내는 데 활용된 것이 이번이 처음도 아니고, 마지막도 아닐 것이다.

플랫폼 업체라면 어디나 심각한 우려 사항이라고 생각할 것이다. 막대한 자원을 보유한 공격자일수록 AI를 적극 활용해 취약점을 탐색할 것이기 때문이다. AI 성능이 향상될수록, AI가 제공하는 공격 역량은 필연적으로 더욱 위험해진다.

항공모함을 살 수 있는 규모의 국가 및 준국가 행위자가 공격에 나서는 상황까지 고려하면 위협의 무게는 한층 더 커진다.

국가 공격이 일어날 때

국가 수준의 막대한 자원을 동원할 수 있다는 것은, 미래의 AI 강화 공격이 돈으로 구할 수 있는 가장 강력한 컴퓨팅 자원을 자유롭게 활용할 수 있음을 뜻한다. 그 정점에 있는 것이 바로 양자 컴퓨터다.

양자 컴퓨터의 위협은 1990년대부터 논의돼 왔다. 양자 컴퓨터는 디지털 세계의 근간을 이루는 암호화 키를 충분히 해독할 수 있을 것으로 예상되며, 그 순간이 오면 세상은 지금과 달라질 것이다. 그 위협이 현실화되기까지 오랜 시간이 남지 않았다. 구글은 최근 양자 컴퓨터가 2029년까지 일부 암호화 시스템을 해킹할 수 있게 될 것이라고 경고했다. 전부는 아니더라도.

Q-데이(Q-Day)가 현실이 되면 돌이킬 수 없다. 미토스 AI가 오늘날 보안 연구팀의 역량을 강화해 애플 M5 칩의 취약점을 찾아내도록 도운 것처럼, 양자 컴퓨터와 결합한 AI는 훨씬 더 위험한 보안 영역을 열어젖힐 가능성이 높다. 글로벌 리스크 연구소(Global Risk Institute)는 기업이 “이 중대한 사이버 위험에 즉각적인 조치를 취해야 한다”고 촉구하고 있다.

업계의 대응을 기다리는 동안 취해야 할 행동

지금 당장 어떤 행동을 취할 수 있을까? 결국 기술이 만들어낸 위협에 맞설 해법도 기술 기업에서 나와야 한다.

• 구글은 예를 들어 양자 내성 암호(PQC) 디지털 서명 보호 기술에 투자하고 있으며, 향후 수년 내 자체 인증 서비스에도 유사한 보호 기술을 적용할 계획이다.
• 애플은 광범위한 프로토콜에 양자 보안 암호화 기술을 이미 적용했다고 밝혔다. “공격자가 암호화된 통신을 대규모로 수집할 수 있는 민감한 사용자 정보 관련 애플리케이션을 우선적으로 적용했다”는 설명이다.
• 시스코(Cisco)는 양자 보안 네트워크 개발에 깊이 관여하며, 오렌지 비즈니스(Orange Business) 등 네트워크 파트너사와 협력해 기업 및 공공 부문 데이터를 미래의 양자 위협으로부터 보호하고 있다.

그러나 이런 기술이 모든 영역을 지키지는 못한다. 자원이 부족한 소프트웨어 개발사 다수가 노출된 채로 남겨지는, 불확실한 위협 환경이 이어질 것이다.

의료나 금융 등 핵심 산업과 주요 인프라를 둘러싼 레거시 시스템은 특히 취약한 상태에 놓일 것이다. 병원이나 은행의 핵심 시스템이 보안 지원이 종료된 윈도우 10 기기에 의존하는 사태는 어떤 경우에도 피해야 한다. (맥북 네오를 선택하는 편이 훨씬 낫다.)

애플은 자원이 부족한 개발사가 아닌 만큼, 양자 위협과 AI 위협 모두로부터 플랫폼을 보호하기 위해 보안에 막대한 투자를 단행할 수밖에 없는 위치에 있다. 두 강력한 기술이 수렴하면서 보안에 미치는 악영향도 고려하면, 앞으로는 훨씬 더 복잡한 공격에 대비해야 한다.

지금 할 수 있을 때 챙겨라

국가 차원의 공격자들이 이미 암호화된 데이터를 대량으로 수집하고 있다는 사실은 이미 알려져 있다. 양자 컴퓨팅 기술이 성숙 단계에 접어들면 현재 수집해둔 암호화 데이터를 복호화할 수 있을 것이라는 기대에서다. 이 전략에는 지금 암호화 데이터를 수확해두고 나중에 복호화한다는 뜻의 HNDL(Harvest Now, Decrypt Later·지금 수확, 나중에 복호화)라는 별칭도 붙어있다.

지나치게 불안해할 필요는 없다. 새로운 공격 유형은 구축 비용이 막대하기 때문에, 애플이 잠금 모드(Lockdown Mode)를 통해 보호하고자 했던 것과 같은 고가치 표적을 겨냥하는 데 주로 쓰일 것이다. 다만 NSO 그룹이 개발한 페가수스(Pegasus) 공격 도구가 현재 다크웹에서 구매 가능한 수준에 이르렀고, 유사한 익스플로잇이 시간이 지나며 유출된 사례를 보면, 정교한 공격 기술은 결국 일반에 퍼지기 마련이다.

지금 당장은 아이메시지 등 양자 대비 메시징 서비스를 선택하고, PQC 호환 패스워드 관리자 출시를 기다리는 동안만큼은 주요 앱과 서비스에 강력한 비밀번호를 사용하는 것이 최선이다. 또한 애플 기기를 겨냥한 AI 기반 보안 익스플로잇 관련 소식을 주시하고, 언제나 그렇듯 신뢰할 수 없는 사람이 접근 가능한 장소에 맥을 방치하지 않도록 주의해야 한다.
dl-itworldkorea@foundryco.com