구글의 위협 인텔리전스 그룹(GTIG)이 구버전 애플 아이폰 사용자들을 겨냥한 새로운 iOS 익스플로잇 키트 ‘코루나(Coruna)’를 포착했다. 이 공격 도구의 주요 목표는 암호화폐 지갑의 시드 문구(seed phrase)를 탈취하여 사용자 자산을 획득하는 것이다.
GTIG는 지난 5일(현지시간) 발표한 보고서에서 코루나가 iOS 13.0부터 17.2.1까지 구버전 아이폰을 표적으로 삼고 있으며, 이 키트는 총 23개의 익스플로잇과 5개의 완전한 iOS 익스플로잇 체인으로 구성되어 있어 심각한 보안 위협이 된다고 경고했다. 이 중에는 이전에 공개된 적이 없는 제로데이 취약점도 포함되어 있는 것으로 추정된다.
코루나는 2025년 2월에 처음 발견되었으며, 러시아와 관련된 첩보 조직이 우크라이나 사용자들을 대상으로 활용한 정황이 확인됐다. 이후, 가짜 중국계 암호화폐 사이트에서도 같은 도구가 사용된 정황이 발견되었다. GTIG는 이러한 변종들이 다수의 웹사이트에서 사용자들의 금융 정보를 수집하고 있다는 증거를 제시하였다.
구글은 코루나가 최신 iOS 버전에서는 작동하지 않는다고 강조하며 아이폰 사용자들에게 운영체제를 즉시 업데이트하라고 권장했다. 만약 업데이트가 불가능하다면, 애플이 제공하는 ‘록다운 모드(Lockdown Mode)’를 활성화해서 고급 표적 공격에 대응할 것을 추천했다.
이 익스플로잇 키트는 특히 사용자들이 접속한 웹사이트에서 자바스크립트를 통해 기기 정보를 지문 채취(fingerprinting)하여 환경에 맞는 익스플로잇을 시도하도록 설계되어 있다. 이를 통해 공격자는 특정 지리적 위치의 아이폰 사용자만을 대상으로 하여 공격 확률을 높이는 전형적인 패턴을 보였다.
GTIG는 이 공격 코드가 특히 시드 문구나 ‘backup phrase’, ‘bank account’와 같은 금융 관련 키워드나 텍스트를 탐색해 민감 정보를 획득하려 했음을 시사했다. 또한 유니스왑(Uniswap)과 메타마스크(MetaMask) 등 인기 있는 암호화폐 애플리케이션을 찾아내어 자산을 빼내려 하는 기능도 담고 있다고 분석됐다.
코루나의 출처에 대해서는 여러 해석이 존재한다. GTIG는 이 익스플로잇 키트의 개발자나 출처가 명확하지 않다며, 모바일 보안 업체 아이베리파이는 미국 정부의 관여 가능성을 제기했다. 아이베리파이의 공동 창립자는 이 공격 도구가 상당히 정교하고 고가의 개발 비용이 들었을 것으로 보인다고 밝혔다.
반면, 카스퍼스키는 공개된 정보로는 코루나가 특정한 출처에 귀속될 수 있는 증거가 부족하다고 주장하여 보다 신중한 입장을 취하고 있다.
이 사례는 보안 업데이트 지연이 개인 자산에 대한 위험을 초래할 수 있음을 분명히 보여준다. 따라서 암호화폐 거래소나 지갑 어플리케이션의 보안 강화를 위해서는 항상 최신 버전으로 운영체제를 업데이트하고, 록다운 모드와 같은 보안 기능을 적절히 활용하는 것이 필수적이다. 사용자들은 의심스러운 링크에 접근하기 전에 항상 도메인을 확인하고, 금융 정보를 온라인에서 안전하게 보관하는 것도 중요하다.
