AI 요약
구글 보안 연구원들과 모바일 보안 업체 iVerify는 'Coruna'라고 명명된 매우 정교한 아이폰 해킹 툴킷의 유출 및 확산 경로를 추적한 보고서를 발표했습니다. 이 툴킷은 총 23개의 iOS 취약점을 결합하여 사용자가 웹사이트를 방문하는 것만으로도 악성코드를 무차별적으로 설치할 수 있는 5가지 완전한 해킹 기법을 보유하고 있습니다. 당초 2023년 2월 감시 회사의 고객에 의해 처음 포착된 이후, 러시아 스파이들이 우크라이나 사이트에 심어 첩보 활동에 활용했으며, 현재는 중국어권 암호화폐 탈취 범죄 조직으로까지 흘러 들어간 상태입니다. 보안 전문가들은 이 코드의 정교함과 영어 기반의 작성 언어, 그리고 2023년 카스퍼스키를 겨냥했던 'Triangulation' 작전과의 코드 유사성을 근거로 이것이 본래 미국 정부나 그 계약업체에 의해 개발되었을 가능성이 매우 높다고 보고 있습니다.
핵심 인사이트
- 대규모 취약점 악용: Coruna는 총 23개의 서로 다른 iOS 취약점을 활용하며, 이는 일반적인 해킹 조직이 아닌 국가 수준의 자금력이 투입되었음을 시사함.
- 확산 경로의 이례성: 2023년 2월 첫 포착 이후, 5개월 만에 러시아 스파이 그룹의 우크라이나 대상 첩보전에서 발견되었고, 최근에는 중국 암호화폐 범죄 조직의 도구로 전락함.
- 미 정부 연관성: iVerify의 공동 창립자 Rocky Cole은 코드 특징상 영어를 사용하는 개발자가 작성했으며, 수백만 달러의 개발 비용이 들었을 것이라고 분석함.
- 기존 작전과의 연결: 2023년 러시아 정부가 미국 국가안보국(NSA)의 소행이라고 주장한 'Triangulation' 해킹 사건의 코드 구성 요소와 Coruna의 구성 요소가 다수 일치함.
주요 디테일
- 무차별 공격 방식: 피해자가 별도의 상호작용 없이 특정 웹사이트를 방문하기만 해도 감염되는 '워터링 홀(Watering Hole)' 공격 방식을 채택함.
- 러시아의 활용 방식: 러시아 스파이 그룹은 우크라이나 웹사이트의 일반적인 방문자 수 집계 컴포넌트 내에 이 해킹 코드를 숨겨 배포함.
- 범죄 조직의 목표: 중국어권 범죄자들은 이 툴킷을 도박 및 암호화폐 관련 사이트에 심어 사용자들의 디지털 자산을 탈취하는 데 사용함.
- 보안 무력화: Coruna는 아이폰의 모든 방어 체계를 무력화하고 조용히(Silently) 악성코드를 설치할 수 있는 5가지 독자적인 기술 모듈을 포함함.
- 개발 배경: 구글은 '감시 회사 고객'이 최초 사용자라고 언급했으나, 보안 업계는 이를 미 정부 혹은 미 정부에 해킹 도구를 판매하는 하청 업체로 보고 있음.
향후 전망
- 사이버 무기 유출 리스크: 국가 지원을 받아 개발된 최첨단 사이버 무기가 통제를 벗어나 일반 범죄 조직의 이익을 위해 재활용되는 사례가 늘어날 것으로 우려됨.
- 보안 생태계 위협: 23개의 취약점을 동시에 악용하는 수준의 공격 도구가 공개 시장이나 범죄 그룹에 노출됨에 따라 애플의 iOS 보안 패치 및 대응 속도가 시험대에 오를 전망.