10개월간 연방정부를 뚫은 '중고 해킹툴'의 경고

10개월간 연방기관들이 뚫렸다

미국 사이버보안인프라보안청(CISA)이 연방기관들에 긴급 패치 명령을 내렸다. 이유는 충격적이다. 10개월 동안 세 개의 서로 다른 해커 그룹이 동일한 iOS 취약점을 이용해 연방기관들을 공격했기 때문이다.

구글이 목요일 공개한 보고서에 따르면, 이들은 모두 'Coruna'라는 고도화된 해킹킷을 사용했다. 이 툴킷은 23개의 iOS 취약점을 5개의 강력한 공격 체인으로 묶어낸 정교한 무기였다.

이미 패치된 '중고' 취약점의 역설

여기서 흥미로운 점이 드러난다. 구글이 관찰한 시점에서 이 취약점들은 이미 애플이 패치를 완료한 상태였다. 그럼에도 공격이 성공한 이유는 무엇일까?

답은 간단하다. 사용자들이 업데이트를 하지 않았기 때문이다. 해커들은 이 점을 노렸다. 패치된 취약점이라도 구버전 iOS를 사용하는 기기에서는 여전히 치명적이었다.

구글 연구진은 "이 해킹킷의 핵심 가치는 iOS 취약점들의 포괄적인 컬렉션에 있다"며 "영어로 작성된 상세한 문서와 주석, 그리고 비공개 해킹 기법들을 사용한다"고 분석했다.

정부기관도 '업데이트 미루기'를 했을까

이번 사건이 던지는 질문은 예상외로 일상적이다. 연방기관조차 iOS 업데이트를 제때 하지 않았다는 뜻이기 때문이다.

사이버보안 전문가들의 관점: "정부기관의 업데이트 지연은 보안 검토 때문"이라고 설명한다. 새 업데이트가 기존 보안 시스템과 충돌할 가능성을 우려해 신중하게 접근한다는 것이다.

일반 사용자들의 관점: 하지만 개인 사용자들도 마찬가지다. "업데이트하면 배터리가 빨리 닳는다", "새 기능이 익숙하지 않다"는 이유로 미루는 경우가 많다.

해커들의 관점: 이들에게는 이런 '업데이트 지연'이 기회다. 패치된 취약점이라도 충분히 활용할 수 있는 '타겟'이 존재한다는 뜻이기 때문이다.

한국 스마트폰 사용자들은 안전할까

국내 상황은 어떨까? 한국의 iPhone 사용률은 30% 내외로, 삼성 갤럭시가 여전히 주류다. 하지만 안심하기는 이르다.

삼성전자나 LG전자 같은 안드로이드 기기도 비슷한 위험에 노출될 수 있다. 구글 플레이 프로텍트나 삼성 녹스 같은 보안 시스템이 있지만, 결국 사용자의 업데이트 습관이 핵심이다.

특히 기업용 스마트폰의 경우 더욱 주의가 필요하다. 네이버나 카카오 같은 국내 IT 기업들도 직원들의 모바일 보안 관리에 신경을 쓰고 있지만, 중소기업은 상대적으로 취약할 수 있다.