[센머니=현요셉 기자] 카스퍼스키가 아이폰 해킹 도구 ‘코루나(Coruna)’의 실체를 코드 수준에서 추적한 결과, 해당 도구가 과거 사이버 스파이 캠페인 ‘오퍼레이션 트라이앵귤레이션(Operation Triangulation)’과 동일한 기술적 뿌리를 가진 것으로 확인됐다. 단순한 유사성을 넘어 동일 제작자가 개발한 연속적 진화 결과물이라는 분석이다.
이번 분석은 카스퍼스키 글로벌 연구분석팀(GReAT)이 수행했다. 연구에 따르면 코루나에 포함된 커널 익스플로잇 5종 가운데 1종은 2023년 공개된 오퍼레이션 트라이앵귤레이션에서 발견된 코드의 업데이트 버전으로 드러났다. 나머지 4종 역시 동일한 익스플로잇 프레임워크를 기반으로 제작됐으며, 이 중 일부는 해당 캠페인이 알려진 이후 새롭게 개발된 것으로 나타났다.
특히 코드 유사성은 커널 공격 기법에만 그치지 않고 코루나 전체 구성 요소로 확장된다. 이는 여러 공격 도구를 조합한 것이 아니라 하나의 프레임워크가 지속적으로 유지·개선돼 온 결과라는 점을 뒷받침한다. 공격 도구의 ‘재사용’이 아닌 ‘계승’이라는 점에서 위협의 구조적 깊이가 한층 커졌다는 평가다.
기술적 분석에서도 진화의 흔적이 분명하다. 코루나에는 애플의 최신 칩셋인 A17, M3, M3 Pro, M3 Max에 대한 지원 코드가 포함돼 있으며, iOS 17.2까지 대응하는 레퍼런스 코드도 확인됐다. 더불어 애플이 취약점을 보완하기 위해 배포한 iOS 16.5 베타 4(beta 4)를 탐지하는 코드도 포함돼 있어, 공격자가 패치 여부까지 고려해 공격을 설계했음을 보여준다.
보리스 라린 카스퍼스키 GReAT 수석 연구원은 “초기에는 공개된 정보만으로 코루나와 오퍼레이션 트라이앵귤레이션 간 연관성을 단정하기 어려웠다”면서도 “실제 바이너리 분석 결과, 코루나는 단순한 코드 조합이 아니라 기존 프레임워크가 지속적으로 발전한 결과물로 확인됐다”고 설명했다. 이어 “최신 애플 프로세서와 iOS 환경까지 반영된 점은 개발 주체가 현재까지도 적극적으로 코드베이스를 확장하고 있음을 의미한다”고 덧붙였다.
이 같은 정황은 공격의 성격 변화도 시사한다. 정밀 타깃형 스파이 도구에서 출발한 기술이 점차 범용 공격 도구로 확산될 가능성이 제기되기 때문이다. 실제로 카스퍼스키는 해당 도구가 점차 무차별적 배포 단계로 이동하고 있다고 분석했다.
국내 보안 환경에 대한 경고도 이어졌다. 이효은 카스퍼스키 한국지사장은 “코루나와 오퍼레이션 트라이앵귤레이션과 같은 위협은 빠르게 진화하고 있다”며 “국내 기업과 기관 역시 선제적 보안 대응 체계를 강화해야 할 시점”이라고 강조했다.
사용자 차원의 대응도 중요하다. 카스퍼스키는 아이폰 이용자들에게 최신 iOS 업데이트를 즉시 적용할 것을 권고했다. 이미 애플이 관련 취약점을 패치했지만, 업데이트가 이뤄지지 않은 기기는 여전히 공격에 노출될 수 있기 때문이다.
한편, 오퍼레이션 트라이앵귤레이션은 지난 2023년 6월 처음 공개된 iOS 대상 APT(지능형 지속 공격) 캠페인이다. 카스퍼스키는 내부 Wi-Fi 트래픽 모니터링 과정에서 해당 공격을 발견했으며, 수십 명의 직원 아이폰이 표적이 된 것으로 확인됐다. 당시 공격에는 애플 제품 전반에 영향을 미치는 제로데이 취약점 4종이 활용된 것으로 분석됐다.
Copyright ⓒ 센머니 무단 전재 및 재배포 금지
