미국 정부 해킹툴이 범죄자 손에? iPhone 공격 코드의 기묘한 여행

42,000대의 아이폰이 웹사이트 방문만으로 해킹당했다

구글이 화요일 공개한 보고서는 충격적이다. 'Coruna'라는 이름의 아이폰 해킹 툴킷이 23개의 iOS 취약점을 악용해 사용자가 특정 웹사이트만 방문해도 기기를 완전히 장악할 수 있다는 것이다. 더 놀라운 건 이 도구의 '여행 경로'다. 미국 정부용으로 개발된 것으로 추정되는 이 해킹툴이 러시아 스파이의 손을 거쳐 중국어권 암호화폐 사기범까지 사용하게 됐다.

세 번의 변신: 정부 도구에서 범죄 수단까지

Coruna의 발견 과정은 마치 스파이 소설 같다. 구글은 이 해킹툴의 세 가지 변종을 추적했다.

첫 번째 발견 (2024년 2월): '감시업체의 고객'이 사용. 구글은 구체적인 정체를 밝히지 않았지만, 국가기관일 가능성이 높다.

두 번째 발견 (2024년 7월): 러시아 스파이 조직으로 추정되는 그룹이 우크라이나 웹사이트에 해킹 코드를 심어 방문자들을 공격했다. 일반적인 방문자 수 측정 도구로 위장했다.

세 번째 발견: 중국어권 암호화폐 및 도박 사이트에서 발견. 이번엔 순전히 돈벌이 목적으로 사용자의 암호화폐 지갑을 털어가는 용도였다.

미국산 해킹툴의 증거들

모바일 보안업체 iVerify의 공동창립자 로키 콜은 "Coruna가 미국 정부 도구일 가능성이 높다"고 분석했다. 그 근거는 명확하다.

코드가 영어권 개발자에 의해 작성됐고, 개발비만 수백만 달러가 들었을 정도로 정교하다. 특히 2023년 러시아 보안업체 카스퍼스키를 공격한 'Triangulation' 작전의 구성요소들이 다수 포함돼 있는데, 러시아 정부는 당시 이를 NSA의 소행이라고 주장했다.

"이는 미국 정부 도구가 통제를 벗어나 적국과 범죄조직에 의해 사용되는 첫 번째 사례"라고 콜은 경고했다.

한국 사용자도 안전하지 않다

Apple은 최신 iOS 18에서 관련 취약점을 패치했지만, iOS 13부터 17.2.1까지 사용하는 기기는 여전히 위험하다. 다행히 애플의 록다운 모드가 활성화된 기기는 공격을 차단할 수 있다.

하지만 문제는 규모다. iVerify는 암호화폐 사기 캠페인만으로도 약 42,000대의 기기가 감염됐을 것으로 추정한다고 밝혔다. 러시아의 우크라이나 공격이나 다른 캠페인의 피해 규모는 아직 파악되지 않았다.

제로데이 브로커의 어두운 세계

그렇다면 미국 정부용 도구가 어떻게 범죄자 손에 들어갔을까? 핵심은 제로데이 브로커 시장이다. 이들은 미공개 해킹 기법에 수천만 달러를 지불하며, 최고가를 부르는 곳에 판매한다.

실제로 이달 미국 정부 계약업체 Trenchant의 임원 피터 윌리엄스가 러시아 제로데이 브로커에게 해킹 도구를 판매한 혐의로 7년형을 선고받았다. 콜은 "이런 브로커들은 독점 계약을 하지 않고 이중 판매를 일삼는다"며 "아마 그런 경로를 통해 유출됐을 것"이라고 분석했다.