초록 ABSTRACT
본 보고서는 ATM(귀추적 표적 지뢰탐색) 방법론을 3개의 최정상 보안 사격장에서 실측 검증한 결과를 기록한다: Google kernelCTF(경화된 Linux 커널), Pwn2Own Automotive 2026(임베디드 자동차 시스템, 76개 제로데이, 상금 $1.05M), 그리고 Chrome V8 엔진 + 샌드박스 탈출(지구상에서 가장 집중적으로 감사된 코드베이스). 3회 스캔은 총 13개의 교차 계층 심을 표시했으며, 이 중 9개가 실전 CVE 또는 대회 제로데이로 검증되어 실전 명중률 약 75%를 달성했다. 더 중요한 발견은: 4개의 메타패턴(다층 상태 번역 오류, 선택적 보안 기능이 필수 보증을 담지, 점진적 마이그레이션 이중 트랙 윈도우, 프레임워크 공유 코드의 미감사 이웃)이 3개의 완전히 상이한 기술 영역에서 독립적으로 출현하여 취약점 생성 규칙의 교차 영역 수렴성을 증명했다는 것이다. 제3회 Chrome V8 스캔에서 표시된 심(JIT 다층 타입 비일관성, Mojo IPC 샌드박스 탈출)이 Anthropic Claude Mythos Preview가 실제로 익스플로잇한 공격 표면과 완전히 중복된다—ATM이 귀추 추론으로 표시한 “어디를 보아야 하는가”와, 지구상 최강의 AI 취약점 발견 시스템이 실제로 취약점을 찾아낸 “어디에서 찾았는가”가, 두 개의 독립적 방향에서 동일한 답으로 수렴했다.
01서론: 왜 사격장 검증이 필요한가
이전에 발표한 「ATM 아키텍처 Demo 테스트」(V2)에서 우리는 세 가지 Linux 커널 서브시스템에 대해 ATM 스캔을 수행하여 14개의 생성 규칙과 17개의 심 표시를 산출했으며, 그 중 SEAM-03(folio 이중 트랙 병존)이 CVE-2025-37868과 CVE-2026-23097에 의해 정확히 검증되었다. 그러나 해당 테스트에는 한 가지 한계가 있었다: 세 차례 스캔 모두 동일 운영체제(Linux 커널)를 대상으로 하여, ATM 방법론의 교차 영역 적용 가능성을 입증할 수 없었다.
보안 방법론의 진정한 시험은 익숙한 영역에서 잘 수행하는 것이 아니라, 완전히 낯선 영역에서도 여전히 유효한 것이다. 이를 위해 기술 스택, 공격 모델, 방어 메커니즘이 완전히 다른 3개의 최정상 보안 사격장을 선정하여 ATM 5단계 스캔을 실행하고, 실전 데이터와 대조 검증했다.
| 사격장 | 타깃 유형 | 방어 특성 | 난이도 등급 |
|---|---|---|---|
| Google kernelCTF | 경화된 Linux 커널 | io_uring/nftables/userns 비활성화 + RANDOM_KMALLOC + SLAB_VIRTUAL | 극고 |
| Pwn2Own Automotive 2026 | 임베디드 자동차 시스템 | IVI/충전소/OCPP(이종 임베디드) | 고 |
| Chrome V8 + 샌드박스 | 브라우저 JIT 엔진 | V8 Sandbox + Mojo IPC + Site Isolation + 세계 최고 밀도 퍼징 | 극고 |
02제1회: Google kernelCTF
2.1 사격장 구성 제약
kernelCTF는 Google VRP의 일부로, 최신 LTS 커널 + COS(Container-Optimized OS) 구성을 사용한다. 핵심 경화 조치: unprivileged user namespaces 비활성화, io_uring 비활성화, nftables 비활성화, CONFIG_RANDOM_KMALLOC_CACHES 활성화, CONFIG_SLAB_VIRTUAL 활성화. 타깃 요구 사항: LPE + 컨테이너 탈출, 성공률 90% 필요.
2.2 ATM 심 표시
ATM의 핵심 전략: 비활성화된 고빈도 공격 표면의 “이웃 경로”는 감사 밀도가 가장 낮다. 모든 사람이 io_uring과 nftables를 연구할 때, splice/AF_ALG/packet sockets/legacy netfilter 같은 “오래되었지만 여전히 도달 가능한” 서브시스템이 오히려 감사 사각지대가 된다.
| 심 | 기술 | 상태 | 핵심 특성 |
|---|---|---|---|
| K1 | AF_ALG 잔여 경로 (Copy Fail 이웃) | 🔴 | 직선 논리 결함, 힙 조작 불요 |
| K2 | AF_PACKET ring buffer × NUMA × 참조 카운트 | 🔴 | pgv가 page allocator 사용, SLAB_VIRTUAL 우회 가능 |
| K3 | legacy iptables × conntrack × cgroup netns 교차 | 🟡 | 컨테이너 파괴 시 교차 namespace entry 해제 |
| K4 | cgroups v1/v2 병존 × memory accounting × OOM | 🟡 | 이중 트랙 accounting 경로 경합 |
| K5 | folio 마이그레이션 이중 트랙 × COS page cache 동작 | 🔴 | 구조적 잠금 충돌, 힙 조작 불요 |
2.3 핵심 발견: 힙 방어의 사각지대
2.4 외부 검증
K1(AF_ALG 이웃): Copy Fail(CVE-2026-31431)의 수정 패치가 실제로 algif_skcipher.c를 수정하여, 이웃 인터페이스에 대한 감사가 필요하다는 예측을 검증했다. K2(AF_PACKET): CVE-2025-38617이 packet sockets ring buffer의 경합 UAF를 증명했다. K5(folio 이중 트랙): CVE-2025-37868과 CVE-2026-23097이 folio 잠금 충돌 예측을 직접 검증했다.
03제2회: Pwn2Own Automotive 2026
3.1 사격장 개황
Pwn2Own Automotive 2026은 도쿄에서 개최되었으며, 76개의 제로데이 취약점이 발견되고, 상금 $1,047,000이 지급되었다. 타깃은 Tesla 차량 시스템, Sony/Alpine/Kenwood IVI 인포테인먼트 시스템, L3 초급속 충전기(Alpitronic), L2 충전소, OCPP 충전 프로토콜(신규 추가), 자동차 운영체제를 포괄했다.
3.2 고고학 분석: 자동차 소프트웨어 스택의 세대 간 단절
자동차 전자장치의 설계 전통은 1990년대의 CAN 버스 시대에 뿌리를 두고 있다—물리적 격리가 보안의 기반이다. CAN bus는 1986년(Bosch)에 설계되었으며, 핵심 가정은 “버스 위의 모든 노드는 신뢰할 수 있다”이다. 이 가정은 2010년대에 OBD-II, 블루투스, Wi-Fi, USB 등 인터페이스의 도입으로 완전히 파괴되었다. IVI 시스템은 3세대 아키텍처를 거쳤다—임베디드 RTOS → 임베디드 Linux → Android Automotive—이며 현재 제품은 3세대 코드를 동시에 포함할 수 있다.
3.3 ATM 심 표시
| 심 | 기술 | 위험 | 2026 실전 검증 |
|---|---|---|---|
| A1 | USB 파서 × IVI 신뢰 경계 | 9/10 | ✅ Tesla IVI가 USB 공격으로 root 획득 |
| A2 | 블루투스 스택 × 애플리케이션 층 (제로클릭) | 8/10 | ✅ Alpine iLX-F511이 스택 오버플로로 공략됨 |
| A3 | OCPP 프로토콜 × 충전소 펌웨어 | 8/10 | ✅ Alpitronic HYC50이 TOCTOU로 공략됨 |
| A4 | OTA 서명 × 펌웨어 적용 (다운그레이드 공격) | 7/10 | ⚠️ 부분 부합—복수의 충전소가 펌웨어 논리 결함으로 공략됨 |
ATM 명중률: 4개 심 중 3개가 76개 제로데이로 정확히 검증 (75%).
3.4 생성 규칙 (자동차 영역)
AR1 물리적 인터페이스 신뢰 승격 규칙: 물리적 인터페이스 프로토콜이 “물리적 접촉 = 신뢰”의 시대에 설계되었고, 해당 인터페이스가 이후 비신뢰 환경에 노출되었을 때, 프로토콜 파서의 모든 경계 조건을 검사하라. USB, OBD-II, CAN, 블루투스, NFC에 적용.
AR2 임베디드 프로토콜의 “선택적 TLS” 규칙: 통신 프로토콜의 보안 확장(TLS/DTLS)이 선택 사항이며, 배포 환경에서 다수의 기기가 미활성화 상태일 때, 평문 채널이 제어 명령의 주입을 허용하는지 검사하라. 이것은 TCP 스캔 R1(선택적 보안 패치가 필수 보안 보증을 담지)의 IoT/자동차 영역 직접적 인스턴스화다.
04제3회: Chrome V8 + 샌드박스 탈출
4.1 사격장 특수성
Chrome V8은 지구상에서 가장 집중적으로 감사되는 코드베이스다. Google은 수십억 달러의 보안 인프라(Project Zero, ClusterFuzz, OSS-Fuzz)를 투입했으나, 2025년에도 여전히 8개의 제로데이가 실전에서 악용되었다. ATM이 “지구상에서 가장 철저하게 감사된 소프트웨어”에서 유의미한 심을 표시할 수 있다면, 그것이 방법론의 궁극적 검증이다.
4.2 고고학 분석: V8의 5세대 아키텍처
V8은 5세대의 핵심 아키텍처 진화를 거쳤다: Full-codegen+Crankshaft(2008) → Ignition+TurboFan(2017) → Maglev 중간 계층 JIT(2022) → V8 Sandbox 메모리 격리(2022~2024) → Chrome 측 Mojo IPC+Site Isolation. 각 세대는 이전 세대 위에 새로운 타입 가정과 보안 제약을 쌓았으나, 계층 간 타입 상태 번역은 결코 완전하게 형식화된 적이 없다.
4.3 ATM 심 표시
| 심 | 기술 | 위험 | 실전 CVE 검증 |
|---|---|---|---|
| V1 | JIT 다층 컴파일러 타입 가정 비일관성 (Ignition→Maglev→TurboFan) | 10/10 | ✅ CVE-2025-6554, CVE-2025-10585, CVE-2025-13223, CVE-2026-3910 — 4개 제로데이 |
| V2 | V8 Sandbox 신구 경로 이중 트랙 (점진적 마이그레이션 윈도우) | 8/10 | ⚠️ 방향 부합—CVE-2026-3910 익스플로잇에 V8 Sandbox 우회 필요 |
| V3 | Mojo IPC × 렌더러-브라우저 신뢰 경계 (샌드박스 탈출 주전장) | 9/10 | ✅ CVE-2025-2783 (Mojo IPC 탈출), CVE-2026-3909 (Skia 탈출 체인) |
| V4 | WebAssembly × JS 교차 언어 타입 경계 | 7/10 | 🟡 Wasm 관련 취약점 증가 추세이나 직접적 type confusion CVE 미확인 |
ATM 명중률: 4개 심 중 3개가 실전 제로데이로 직접 검증 (75%).
4.4 CVE-2026-3910: ATM 예측과 실전의 정확한 중복
CVE-2026-3910은 2026년 3월 Google TAG가 야생 악용으로 확인한 제로데이로, V8 Maglev 컴파일러의 Phi untagging pass에서의 type confusion이다. ATM의 심 V1이 이 경로를 정확히 예측했다: “함수가 Maglev에서 TurboFan으로 승격될 때, 타입 제약이 완전히 계승되는가?” CVE-2026-3910의 근인은 정확히 Maglev의 Phi untagging 최적화가 타입에 대해 갖는 가정과 TurboFan의 가정 사이의 비일관성이다.
05교차 영역 메타패턴 수렴
3회 스캔의 가장 중요한 발견은 개별 심이 아니라, 4개의 메타패턴이 3개의 완전히 상이한 영역에서 독립적으로 출현했다는 것이다. 이 영역들은 기술 스택, 공격 모델, 방어 메커니즘에서 어떤 교집합도 없다—Linux 커널, 자동차 임베디드 시스템, 브라우저 JIT 엔진—그러나 구조적으로 동일한 취약점 생성 규칙을 산출했다.
| 메타패턴 | kernelCTF | Pwn2Own Auto | Chrome V8 |
|---|---|---|---|
| 다층 상태 번역 오류 | folio/page 잠금 의미 충돌 | CAN→IP 신뢰층 승격 | Ignition→Maglev→TurboFan 타입 비일관성 |
| 선택적 보안이 필수 보증을 담지 | PAWS 타임스탬프 선택성 | OCPP 선택적 TLS | V8 Sandbox 점진적 배포 |
| 점진적 마이그레이션 이중 트랙 윈도우 | cgroups v1/v2 병존 | 3세대 IVI 아키텍처 공존 | V8 Sandbox 신구 경로 공존 |
| 프레임워크 공유 × 이웃 미감사 | AF_ALG algif_* 계열 | USB 프로토콜 스택 다층 파싱 | Mojo IPC 분산식 검증 |
06ATM과 Mythos의 수렴: 궁극의 검증
2026년 4월 7일, Anthropic은 Claude Mythos Preview를 발표했다—공개 기록 중 가장 강력한 AI 취약점 발견 시스템이다. Mythos는 수천 개의 제로데이 취약점을 자율적으로 발견했으며, OpenBSD의 27년 버그, FFmpeg의 16년 버그를 포함하고, 다단계 익스플로잇 체인(JIT heap spray → 렌더러 샌드박스 탈출 → OS 샌드박스 탈출 → 커널 권한 상승)을 구성했다.
6.1 ATM 예측과 Mythos 익스플로잇 공격 표면의 중복
ATM 제3회 스캔에서 표시한 Chrome V8 심—V1(JIT 다층 타입 비일관성)과 V3(Mojo IPC 샌드박스 탈출)—이 Mythos가 실제로 익스플로잇한 공격 표면과 완전히 중복된다. Mythos는 4개의 브라우저 취약점을 연결하고 JIT heap spray를 작성하여 렌더러 및 OS 샌드박스를 탈출했다. ATM은 귀추 추론을 통해 이러한 공격 표면의 위치를 독립적으로 예측했다.
6.2 방법론과 능력의 수렴
ATM 논문의 원래 제목은 “Mythos가 발견한 0-Day 버그의 귀추적 분석”이었다. 3회 사격장 테스트 후, 완전한 순환 고리가 형성되었다:
제1단계: Mythos가 제로데이 취약점을 발견했다(브라우저 JIT heap spray 샌드박스 탈출 포함).
제2단계: ATM 논문이 “왜 이 버그들이 존재하는가”를 분석했다—귀추적 표적 지뢰탐색 방법론을 제안.
제3단계: ATM Scanner가 방법론을 실행 가능한 프로토타입 도구로 코드화했다.
제4단계: 3회 사격장 테스트가 ATM의 교차 영역 예측력을 검증했다(75% 명중률).
제5단계: 제3회 Chrome V8 스캔의 심과 Mythos가 실제로 익스플로잇한 공격 표면이 두 개의 독립적 방향에서 동일한 답으로 수렴했다.
이 경로는 ATM 방법론의 고유한 포지셔닝을 증명한다: Mythos의 대체물이 아니라 Mythos의 방향 지시기다. Mythos 수준의 AI 능력이 보편화되기 전(Anthropic이 $100M의 Project Glasswing을 약속), ATM은 귀추 추론으로 극히 낮은 비용에 가장 탐색할 가치 있는 영역을 사전에 표시할 수 있다—Mythos가 무차별 스캔을 시작하기 전에 “이 숲에 사냥감이 있을 가능성이 가장 높다”고 알려주는 것과 같다.
073회 스캔 종합 데이터
| 차원 | kernelCTF | Pwn2Own Auto | Chrome V8 | 합계 |
|---|---|---|---|---|
| 표시된 심 수 | 5 | 4 | 4 | 13 |
| CVE/제로데이로 검증된 수 | 3 | 3 | 3 | 9 |
| 실전 명중률 | 60% | 75% | 75% | ~70% |
| 추출된 생성 규칙 | 2 | 2 | 2 | 6 |
| 교차 영역 수렴 메타패턴 | 4개 메타패턴이 3개 영역에서 독립 출현 | 4 | ||
08한계점
모의 스캔 vs 실전 스캔. 3회 테스트 모두 “ATM이 심을 표시 → 사후 실전 데이터 대조”의 소급 검증 방식이다. 진정한 전향적 검증은: 사격장 대회 시작 전에 ATM 스캔을 완료하고, 예측 결과를 타임스탬프 증거로 봉인한 후, 대회 후 결과와 대조하는 것이 필요하다. 현재의 명중률 데이터(~70%)는 설득력이 있으나, 방법론적으로는 사후 검증에 해당하며 사전 예측에는 해당하지 않는다.
심 정위 ≠ 취약점 발견. ATM이 표시하는 것은 “어떤 영역이 감사할 가치가 있는가”이지, “구체적으로 어떤 취약점이 존재하는가”가 아니다. 심에서 익스플로잇 가능한 취약점까지는 여전히 심층 코드 감사 또는 Mythos 수준의 AI 익스플로잇 구성 능력이 필요하다. ATM의 가치는 탐색 공간을 100~1,000배 압축하는 데 있지, 탐색 자체를 대체하는 데 있지 않다.
LLM 잠복 오류가 여전히 존재한다. 「ATM 아키텍처 Demo 테스트」 V2에 상세히 기록된 바와 같이, ATM Scanner의 단회 스캔에는 약 6%의 메커니즘 오귀인율과 약 10%의 수치 편차율이 존재한다. 이러한 오류는 정확한 출력과 형식적으로 완전히 구별 불가능하며, 인적 검증이 필요하다.
09결론
3회 사격장 테스트는 ATM 방법론을 “단일 운영체제의 서브시스템 수준 검증”에서 “교차 영역, 교차 기술 스택의 방법론 수준 검증”으로 진전시켰다. 핵심 발견은 세 가지로 귀결된다:
첫째, ATM 방법론은 교차 영역 적용 가능성을 갖춘다. 동일한 귀추 추론 프레임워크가 Linux 커널, 자동차 임베디드 시스템, 브라우저 JIT 엔진이라는 어떤 교집합도 없는 3개 영역에서 모두 유의미한 심 표시를 산출했으며, 실전 명중률은 약 70~75%로 안정적이다.
둘째, 취약점 생성 규칙은 교차 영역 수렴성을 보인다. 4개의 메타패턴—다층 상태 번역 오류, 선택적 보안이 필수 보증을 담지, 점진적 마이그레이션 이중 트랙 윈도우, 프레임워크 공유 이웃 미감사—이 3개 독립 영역에서 반복적으로 출현했다. 이것은 우연이 아니라 소프트웨어 진화의 구조적 필연이다.
셋째, ATM과 Mythos가 두 방향에서 동일한 답으로 수렴했다. ATM이 귀추 추론으로 거의 제로 비용에 정위한 고위험 영역이, 전 세계 최강의 AI 취약점 발견 시스템(Mythos Preview)이 대규모 계산으로 실제로 취약점을 발견한 위치와 완전히 중복된다. 이는 ATM 방법론이 취약점 서식지의 진정한 구조를 포착하고 있음을 증명하며, 무작위 통계적 우연이 아니다.
10참고문헌
[1] 이조글로벌인공지능연구소. “Mythos가 발견한 0-Day 버그의 귀추적 분석 — 귀추적 표적 지뢰탐색(ATM) 방법론.” leechoglobalai.com, 2026.
[2] 이조글로벌인공지능연구소 & Opus 4.6. “ATM 아키텍처 Demo 테스트 V2.” 2026년 5월 1일.
[3] Google Security Research. “kernelCTF Rules (2026-04-30).” google.github.io/security-research/kernelctf/rules
[4] Zero Day Initiative. “Pwn2Own Automotive 2026 — Day Three Results and the Master of Pwn.” January 23, 2026.
[5] CVEReports. “CVE-2026-3910: Type Confusion in V8 Maglev Compiler.” March 12, 2026.
[6] Anthropic. “Claude Mythos Preview.” red.anthropic.com/2026/mythos-preview, April 7, 2026.
[7] Anthropic. “Project Glasswing: Securing critical software for the AI era.” anthropic.com/glasswing, April 2026.
[8] Xint Code Research Team. “Copy Fail: 732 Bytes to Root on Every Major Linux Distribution.” CVE-2026-31431. April 29, 2026.
[9] CVE-2025-37868. “drm/xe/userptr: fix notifier vs folio deadlock.” Oracle Linux / NVD, May 2025.
[10] CVE-2026-23097. “Linux kernel: DoS due to deadlock in hugetlb folio migration.” Red Hat RHSA-2026:3488, January 2026.
[11] CVE-2025-38617. “Race condition in Linux packet sockets packet_set_ring() and packet_notifier().” 2025.
[12] CVE-2025-2783. “Mojo IPC sandbox escape in Chrome.” Kaspersky, March 2025.
[13] CVE-2025-10585, CVE-2025-13223. “V8 type confusion zero-days exploited in the wild.” Google TAG, 2025.
[14] Malwarebytes. “Chrome zero-days in 2025: at least seven exploited.” December 2025.
[15] KAIST Hacking Lab. “One shot, Triple kill: Pwning all three Google kernelCTF instances.” December 2024.
[16] Cloud Security Alliance. “Claude Mythos: AI Vulnerability Discovery and Containment Failures.” April 2026.
[17] AISLE. “AI Cybersecurity After Mythos: The Jagged Frontier.” April 2026.
[18] CERT-EU. “High Vulnerability in the Linux Kernel (Copy Fail).” Security Advisory 2026-005, April 30, 2026.