정부 해킹툴이 범죄자 손에 넘어갔다

23개 취약점을 엮어 아이폰을 뚫는다

구글이 발견한 해킹툴 하나가 전 세계를 돌고 있다. 이름은 '코루나(Coruna)'. 미국 정부가 만든 것으로 추정되는 이 도구는 아이폰의 방어막을 5가지 방법으로 뚫을 수 있다. 악성 링크 하나만 클릭해도 끝이다.

문제는 이 도구가 이제 정부 손을 떠났다는 점이다. 2025년 2월 정부 고객을 위한 감시 작업에서 처음 발견된 후, 몇 달 뒤에는 러시아 스파이 그룹이 우크라이나인들을 대상으로 사용했다. 그리고 최근에는 중국의 금전적 동기를 가진 해커가 활용하고 있다.

정부 도구에서 범죄자 무기로

구글의 보안 연구진은 이를 "중고 익스플로잇" 시장의 등장이라고 경고했다. 정부용으로 개발된 해킹 도구가 유출되어 돈벌이에 혈안인 범죄자들에게 팔리는 구조다.

모바일 보안업체 iVerify는 코루나 킷을 역공학 분석한 결과, 미국 정부와 연관성이 있다고 밝혔다. 과거 미국 정부에 귀속된 해킹 도구들과 유사성을 발견했기 때문이다.

"사용 범위가 넓어질수록 유출은 더 확실해진다"고 iVerify는 경고했다. "이런 도구들은 결국 야생으로 나가 악의적 행위자들에 의해 무분별하게 사용될 것이다."

아이폰 사용자, 안전지대는 없다

코루나 킷의 위력은 상당하다. iOS 13부터 17.2.1(2023년 12월 출시)까지의 아이폰 모델을 타겟으로 한다. 2023년 말 기준으로도 상당수 사용자가 여전히 취약한 상태라는 의미다.

해킹 방식은 '워터링 홀' 공격이다. 사용자가 악성 웹사이트를 방문하거나 악성 링크를 클릭하는 순간 감염된다. 별도의 앱 설치나 복잡한 조작 없이 단순 방문만으로도 해킹이 완료된다.

흥미롭게도 코루나 킷에는 2023년 러시아 보안업체 카스퍼스키가 '오퍼레이션 트라이앵귤레이션'이라 명명한 해킹 캠페인에 사용된 구성 요소들이 포함되어 있다. 당시 카스퍼스키는 미국 정부가 자사 직원들의 아이폰을 해킹하려 했다고 주장한 바 있다.

유출은 반복된다

정부 해킹 도구의 유출은 이번이 처음이 아니다. 2017년 미국 국가보안청(NSA)이 개발한 윈도우 해킹 도구 '이터널블루(EternalBlue)'가 도난당해 공개됐다. 이 도구는 이후 북한의 워너크라이 랜섬웨어 공격에 악용됐다.

최근에는 미국 국방업체 L3Harris Trenchant의 전 책임자 피터 윌리엄스가 8개의 익스플로잇을 러시아 정부와 연관된 브로커에게 판매한 혐의로 7년 이상 실형을 선고받았다. 검찰에 따르면 윌리엄스가 판매한 익스플로잇은 전 세계 "수백만 대의 컴퓨터와 기기"를 해킹할 수 있는 수준이었다.