구글 클라우드 보안 연구 조직인 구글 위협 인텔리전스 그룹(GTIG)은 최근 공개한 분석에서 ‘코루나(Coruna)’라는 iOS 공격 프레임워크를 발견했다고 밝혔다.
구글 클라우드에 따르면 이 도구는 총 23개의 취약점 공격(익스플로잇)과 5개의 완전한 공격 체인으로 구성돼 있으며 iOS 13부터 17.2.1까지 다양한 아이폰 기기를 겨냥한다.
특히 코루나는 악성 앱 설치가 아니라 웹사이트 방문만으로도 감염이 가능하도록 설계된 것이 특징이다.
|
구글 클라우드는 이를 “매우 강력한 iOS 익스플로잇 키트”로 규정하며, 특정 인물을 겨냥한 공격뿐 아니라 다수 이용자를 대상으로 한 대규모 공격에도 활용될 수 있다고 설명했다.
미국 IT 매체 와이어드(WIRED)도 최근 보도에서 이 해킹 도구가 이미 수만 대 이상의 아이폰을 감염시켰을 가능성이 있다고 전했다.
와이어드에 따르면 코루나는 처음에는 감시 활동을 위한 정교한 공격 도구로 사용된 뒤, 이후 외국 정보기관과 범죄 조직으로 확산된 것으로 보인다.
구글 클라우드 분석에 따르면 코루나는 2025년 초 감시용 공격 활동에서 처음 관찰됐다. 이후 같은 해 중반 러시아와 연계된 것으로 의심되는 공격 주체가 우크라이나 관련 웹사이트를 대상으로 한 사이버 작전에 이 도구를 사용한 정황이 확인됐다.
이어 2025년 말에는 중국어 사용자를 노린 암호화폐 사기 사이트에서 코루나가 활용된 사례도 발견됐다. 공격자는 가짜 도박 사이트나 암호화폐 플랫폼을 통해 아이폰 사용자를 유도한 뒤 악성 웹페이지를 통해 기기 침투를 시도한 것으로 분석됐다.
보안 업계는 특히 이 도구의 출처에 주목하고 있다. WIRED는 보안업체 iVerify 분석을 인용해 코루나의 코드 구조와 기술 수준이 국가급 공격 도구와 유사하며, 일부 연구자들은 미국 정부 관련 계약업체에서 개발됐을 가능성을 제기하고 있다고 전했다. 다만 이는 정황 분석 수준이며 실제 개발 주체는 확인되지 않았다.
또 코루나의 일부 구성 요소는 러시아 정보기관의 아이폰 감청 활동으로 알려진 ‘오퍼레이션 트라이앵귤레이션(Operation Triangulation)’에서 사용된 기술과 유사한 흔적을 보이는 것으로 분석됐다. 보안 연구자들은 기존 국가급 공격 기술이 변형되거나 재활용됐을 가능성을 제기하고 있다.
이번 사례는 국가기관 수준의 사이버 공격 기술이 시간이 지나면서 범죄 조직으로 확산될 수 있다는 점을 다시 보여주는 사건으로 평가된다. 보안 업계에서는 과거 미국 국가안보국(NSA) 해킹 도구 ‘이터널블루(EternalBlue)’ 유출 이후 랜섬웨어 공격이 급증했던 사례와 유사한 흐름이라는 지적도 나온다.
현재 애플은 관련 취약점에 대해 보안 업데이트를 통해 수정 작업을 진행한 상태다. 전문가들은 최신 iOS 업데이트 적용과 함께 고위험 사용자의 경우 ‘락다운 모드(Lockdown Mode)’ 사용을 권고하고 있다.
보안 업계에서는 코루나 사례가 아이폰 생태계에서도 대규모 자동화 공격이 현실화될 수 있음을 보여준 사건으로 보고 있다. 국가급 사이버 무기가 민간 범죄 생태계로 확산될 경우 그 파급력이 훨씬 커질 수 있다는 점에서 향후 모바일 보안 정책에도 적지 않은 영향을 미칠 것으로 전망된다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
