AI가 macOS 커널 취약점을 찾았다: Claude가 발견한 CVE-2026-28952의 의미

AI가 보안 연구자가 되는 시대

보안 업계에 꽤 상징적인 사건이 하나 일어났어요. Apple이 공식 보안 업데이트 페이지에서 CVE-2026-28952라는 macOS 26.5 커널 취약점을 공개하면서, 이 취약점을 발견한 주체로 "Claude"를 명시한 거예요. 네, Anthropic의 AI 어시스턴트 Claude가 직접 발견한 거예요.

AI가 보안 취약점을 찾는다는 게 완전히 새로운 이야기는 아니에요. 이미 Google의 OSS-Fuzz가 AI를 활용해서 오픈소스 라이브러리의 버그를 찾고 있고, GitHub Copilot도 코드 리뷰 과정에서 잠재적 취약점을 지적해줘요. 하지만 상용 OS의 커널, 그것도 Apple 같은 회사의 macOS 커널에서 CVE 번호가 부여된 정식 취약점을 AI가 찾았다는 건 차원이 다른 이야기예요. 커널은 운영체제의 가장 깊숙한 핵심이고, 여기서 발견되는 취약점은 권한 상승이나 시스템 장악으로 이어질 수 있는 가장 위험한 종류거든요.

커널 취약점이 왜 그렇게 위험할까

잠깐 기본부터 짚고 갈게요. 커널은 컴퓨터의 "중앙 관리자"예요. 모든 앱이 하드웨어를 직접 만지지 못하게 막고, 메모리, CPU, 디스크 같은 자원을 분배해주는 역할을 해요. 그러니까 커널에 문제가 생기면 그 위에서 돌아가는 모든 게 영향을 받아요.

커널 취약점이 무서운 이유는 보통의 앱 권한으로 실행되는 코드가 "갑자기 시스템 전체를 통제하는 권한"을 얻을 수 있게 되기 때문이에요. 예를 들어 브라우저에서 악성 사이트를 열었을 때, 보통은 브라우저 샌드박스 안에서만 피해가 발생해야 하는데, 커널 취약점과 연결되면 그 사이트가 시스템 전체를 장악할 수도 있는 거죠. 그래서 Apple, Microsoft, Google 같은 회사들은 커널 취약점 발견자에게 거액의 버그 바운티를 지급해요.

AI는 이런 걸 어떻게 찾을까

전통적인 취약점 발견 방식은 크게 세 가지예요. 첫째는 수동 코드 리뷰로, 보안 연구자가 직접 소스 코드를 읽으면서 의심스러운 패턴을 찾아내는 거예요. 둘째는 퍼징(fuzzing)으로, 무작위 또는 변형된 입력을 프로그램에 던져서 충돌을 일으키는 방식이에요. 셋째는 정적 분석으로, 도구가 코드를 자동으로 스캔해서 위험한 패턴을 잡아내는 거고요.

Claude 같은 LLM(거대 언어 모델)이 가져오는 변화는 이 세 가지를 모두 보강한다는 점이에요. AI는 거대한 코드베이스를 빠르게 읽고 맥락을 이해할 수 있어요. 예를 들어 "이 함수에서 사용자 입력을 받아 길이 검증 없이 memcpy를 호출하는데, 호출자 측에서도 검증이 없네" 같은 다단계 추론을 할 수 있는 거죠. 단순 정적 분석 도구가 잡지 못하는 "문맥적 취약점"을 발견할 수 있는 게 강점이에요.

이번 CVE-2026-28952의 구체적인 세부사항은 Apple이 책임 있는 공개 정책에 따라 자세히 밝히지 않았지만, 일반적으로 macOS 커널에서 발견되는 취약점은 메모리 손상(use-after-free, buffer overflow), 경쟁 조건(race condition), 권한 검증 누락 같은 패턴이 많아요. AI가 이런 패턴을 인식하고 잠재적 경로를 추론하는 데 점점 더 능숙해지고 있다는 신호예요.

보안 업계 지형의 변화

이 사건이 갖는 의미는 단순히 "AI 똑똑하네"를 넘어요. 보안 업계 전체의 게임 룰이 바뀌고 있다는 신호거든요. Google의 Project Zero 같은 엘리트 팀이나 개인 연구자들이 독점하던 영역에, 이제 AI가 본격적으로 들어왔어요. 동시에 공격자도 똑같은 도구를 손에 쥐게 됐다는 뜻이기도 해요.

비슷한 흐름으로, 최근 DARPA가 주최한 AIxCC(AI Cyber Challenge)에서는 AI 시스템들이 자동으로 취약점을 찾고 패치까지 만드는 경쟁이 벌어졌어요. Anthropic, OpenAI, Google DeepMind 모두 이 영역에 투자하고 있고요. "AI vs AI 보안전"이 본격화될 거라는 예측이 점점 현실이 되고 있어요.

경쟁자로 보면, OpenAI는 GPT 기반 코드 분석을 강화하고 있고, Google은 Gemini를 OSS-Fuzz에 결합하고 있어요. Microsoft는 Security Copilot으로 보안 운영 자동화에 집중하는 중이고요. Anthropic의 Claude가 실제 CVE를 발견했다는 건 이 경쟁에서 의미 있는 마일스톤이에요.

한국 개발자에게 주는 시사점

이 이야기가 우리에게 던지는 메시지는 두 갈래예요. 첫째, 방어 측면에서 AI 보조 코드 리뷰를 적극적으로 도입할 시기라는 거예요. 회사에서 작성하는 코드를 Claude나 Copilot에 검토 받는 워크플로우를 갖춰두면, 사람 리뷰어가 놓치는 메모리 안전성 이슈나 입력 검증 누락을 잡을 가능성이 커져요. 한국에서도 금융권이나 보안 민감 도메인을 중심으로 이런 도구 도입 논의가 활발해질 거예요.

둘째, 공격자도 같은 무기를 갖췄다는 걸 잊지 말아야 해요. 예전에는 "이 정도 깊이의 코드는 분석할 사람이 없겠지"라는 안일한 가정이 통했지만, 이제는 AI가 며칠이면 거대한 코드베이스를 훑어볼 수 있어요. 자체 서비스의 보안 가정을 다시 점검하고, 의존성 라이브러리의 취약점 패치를 더 빠르게 따라가는 습관이 필요해요.

그리고 보안 연구자 커리어를 고민하는 분이라면, AI를 적이 아닌 동료로 보는 시각이 중요해요. AI가 발견한 후보를 검증하고 실제 익스플로잇으로 발전시키는 능력, 그리고 AI에게 좋은 질문을 던지는 능력이 새로운 핵심 역량이 될 거예요.