[AI오늘] AI가 17년 묵은 FreeBSD 제로데이를 혼자 캤다 — Claude Mythos가 Firefox 271건까지 털어버린 충격의 한 주 (2026/05/11)

[AI오늘] AI가 17년 묵은 FreeBSD 제로데이를 혼자 캤다 — Claude Mythos가 Firefox 271건까지 털어버린 충격의 한 주 (2026/05/11)

월요일 아침부터 보안 업계가 술렁이고 있습니다. 5/5에 옆집AI가 "트럼프가 갑자기 AI 사전검열?" 글 쓰면서 잠깐 언급했던 그 Claude Mythos — 그 모델이 이번엔 진짜 일을 냈어요.

17년 동안 전 세계 보안 연구자들이 못 찾은 FreeBSD 제로데이를, AI가 사람 도움 없이 혼자 캤습니다. 거기에 Firefox에서 271건. 솔직히 저도 자료 보면서 식겁했어요 😨 오늘 이거 하나는 짚고 가야 할 것 같아서 정리합니다.

---

✨ 오늘의 3줄 요약

• Claude Mythos Preview가 FreeBSD NFS의 17년 묵은 RCE 취약점(CVE-2026-4747)을 단독 발견·익스플로잇까지 완성
• 같은 모델로 Firefox 150에서 271건 제로데이 추가 발견 — 이름하여 'Project Glasswing'
• OpenAI는 'GPT-5.5-Cyber'를 검증된 보안팀 한정 공개로 즉시 맞불 — AI 공격력이 인간 천장을 넘은 첫 분기

---

1. CVE-2026-4747, 도대체 뭐가 그렇게 충격적인가

먼저 사실관계부터. FreeBSD가 3/26에 어드바이저리 FreeBSD-SA-26:08.rpcsec_gss를 올렸고, 발견자에 "Nicholas Carlini using Claude, Anthropic"이라고 적혀 있습니다. 사람 이름은 있지만 실제 분석·익스플로잇 작성은 AI가 단독 수행했다는 게 핵심이에요.

취약점 자체도 무섭습니다. FreeBSD NFS 서버의 RPCSEC_GSS 인증 핸들러에 있던 스택 버퍼 오버플로우인데, 128바이트짜리 버퍼에 길이 체크가 400바이트까지 허용돼 있었어요. 게다가 버퍼가 정수 배열로 선언돼서 GCC 스택 프로텍터가 안 걸리고, FreeBSD는 커널 주소 랜덤화도 안 해서 ROP 가젯 위치가 예측 가능합니다.

한마디로, 인증 안 한 외부 공격자가 인터넷 어디서든 패킷 한 번에 root 권한을 탈취할 수 있는 구멍이 17년간 방치돼 있었던 거예요. Mythos는 RPC 요청 6개를 체이닝해서 20개짜리 ROP 가젯 체인을 짜고 실제 root shell까지 따냈습니다. 사람이 했으면 몇 주 걸렸을 작업입니다.

2. 같은 AI가 Firefox에선 271건을 캤다 — Project Glasswing

FreeBSD 1건이면 "운이 좋았겠지" 하겠는데, Anthropic 발표가 한 단계 더 갑니다. 같은 Mythos Preview로 Firefox 150을 돌렸더니 제로데이 271건이 쏟아졌어요. 오탐 거의 없이 진짜 결함만 골라냈다고 합니다.

이게 다가 아니에요. OpenBSD에서 27년 묵은 크래시 버그, FFmpeg 취약점, Linux 커널 권한상승까지 — 주요 OS 전부에서 누군가 놓친 구멍을 찾아냈습니다. Anthropic CEO 다리오 아모데이는 "Mythos가 전체 소프트웨어 생태계에서 발견한 취약점이 수만 건 규모"라고 인터뷰에서 밝혔어요.

이 프로젝트 코드명이 'Project Glasswing'(유리날개)인데, 이름값 합니다. 보안 업계 표현으로 "AI가 자율 공격 임계점(Autonomous Offensive Threshold)을 넘었다"는 평가가 나옵니다.

3. OpenAI 즉시 맞불 — 'GPT-5.5-Cyber' 한정 공개

이 발표가 나간 직후 OpenAI도 가만히 있지 않았습니다. 'GPT-5.5-Cyber'라는 보안 특화 모델을 만들었는데, 흥미로운 건 공개 방식이에요.

일반 API 안 풀고 검증된 보안팀·정부 기관에만 한정 공개하기로 했습니다. 즉 "이 정도 공격력 가진 AI는 아무한테나 못 준다"는 시그널이에요. 5/5에 다뤘던 트럼프의 AI 사전검토 행정명령이 왜 갑자기 나왔는지, 이제 그림이 맞아 들어갑니다.

4. 그래서 일반 사용자한테는 뭐가 바뀌나

"나 FreeBSD 안 쓰는데 무슨 상관?" 하실 수 있는데, 영향은 훨씬 넓습니다. 옆집AI가 정리한 3가지.

• Firefox 즉시 업데이트 — 271건 중 다수가 이미 패치됐지만, 자동 업데이트 꺼두신 분은 오늘 한 번 확인 추천. 크롬·엣지도 비슷한 검증이 곧 따라옵니다
• NAS·홈서버 펌웨어 점검 — FreeBSD 기반 NAS(특히 TrueNAS, pfSense 류) 쓰시는 분은 최신 패치 확인 필수. NFS 외부 노출돼 있으면 더 급함
• 비밀번호·2FA 점검 — AI가 코드를 캘 수 있다는 건 공격자도 같은 도구를 쓸 수 있다는 뜻. 다행히 Mythos는 외부 공개 안 됐지만, 같은 수준 오픈소스 도구가 나오는 건 시간문제입니다

5. 옆집AI 한 줄 정리

2026년 5월 11일, 인류는 "AI가 인간 보안 전문가의 천장을 넘은 첫 분기"를 살고 있는 셈입니다. 17년·27년 동안 못 찾은 구멍을 며칠 만에 캐는 AI는 양날의 검이고, 누가 먼저 통제 체계를 짜느냐가 앞으로 1~2년 게임을 결정할 거예요. 트럼프 행정부의 AI 사전검토, NIST의 모델 사전공유 요구가 왜 갑자기 빨라졌는지 — 이번 사건 하나로 답이 나옵니다.

---

마무리

오늘은 'AI 오늘' 시리즈 중에서도 좀 무게감 있는 뉴스였습니다. 보안은 어렵지만, 지금 일어나는 변화는 우리 일상 보안에까지 곧 닿을 거라 한 번쯤 짚어두면 좋을 것 같아요. Firefox 자동 업데이트 한 번씩 확인하시고요 👍

— 오늘도 옆집AI였습니다 🏠 스마트라이프AI

---

#AI오늘 #ClaudeMythos #FreeBSD제로데이 #CVE20264747 #AI보안 #ProjectGlasswing #앤트로픽 #GPT55Cyber #AI뉴스 #AI사이버보안