Google의 Threat Intelligence Group은 Coruna라는 고도화된 iOS 익스플로잇 프레임워크에 대한 연구를 공개했다. Coruna는 다섯 개의 완전한 익스플로잇 체인에 걸쳐 23개의 취약점을 포함하고 있으며, 2025년 내내 러시아의 스파이 활동으로 의심되는 공작원들과 중국 암호화폐 사기범들에 의해 사용되었다.
모바일 보안 기업 iVerify는 별도의 분석에서 해당 코드베이스가 미국 정부가 개발한 도구의 특징을 지니고 있다고 결론 내리며, 국가 차원의 iOS 역량이 대규모 범죄 사용을 위해 재활용된 첫 알려진 사례일 수 있다고 평가했다.
Coruna가 악용한 모든 취약점은 현재 iOS 버전에서 패치가 완료되었다. 2023년 12월까지 출시된 iOS 17.2.1 및 그 이전 버전을 사용하는 기기들은 여전히 영향을 받는 범주에 속한다.
발생 경위
Google은 2025년 전반에 걸쳐 세 개의 서로 다른 운영자를 통해 Coruna를 추적했다. 이 키트는 처음에 한 상업용 감시 벤더의 이름이 공개되지 않은 고객이 사용한 익스플로잇 체인에서 2월에 모습을 드러냈다.
여름까지 동일한 JavaScript 프레임워크가 침해된 우크라이나 웹사이트 내 숨겨진 iframe 형태로 등장했으며, 지리 위치 정보를 기반으로 iPhone 사용자를 선별적으로 노렸다. 이 활동은 러시아 스파이 조직으로 의심되는 UNC6353에 귀속되었다. 2025년 말까지 전체 툴킷은 수백 개의 중국어 가짜 암호화폐 및 도박 사이트 전반에 배포되었고, 단일 캠페인에서 약 4만2천 대의 기기가 손상된 것으로 추산된다.
이 키트는 드라이브바이 공격 방식으로 작동하며, 사용자의 클릭이 필요 없다. 대상 사용자가 침해된 사이트를 방문하면, 기기를 지문 채취하고 맞춤형 익스플로잇 체인을 전달하는 은밀한 JavaScript가 실행된다. 범죄용으로 변형된 페이로드는 BIP39 시드 문구를 탐색하고, MetaMask 및 Trust Wallet 데이터를 탈취한 뒤, 자격 증명을 명령·제어 서버로 유출한다.
왜 중요한가
iVerify 공동 창립자이자 전 NSA 분석가인 Rocky Cole은 Coruna의 코드베이스가 “매우 정교하다(superb)”고 평가하면서, 공개적으로 미국 정부 프로그램과 연계된 것으로 알려진 코드 모듈과 공학적 지문을 공유한다고 말했다. 여기에는 러시아가 2023년 공식적으로 NSA의 소행이라고 지목한 iOS 캠페인 Operation Triangulation의 구성 요소도 포함된다. 워싱턴은 해당 주장에 대해 지금까지 아무런 논평을 내놓지 않았다.
Cole은 상황을 2017년에 탈취되어 이후 WannaCry와 NotPetya 공격을 가능하게 했던 NSA 개발 Windows 익스플로잇을 떠올리게 하는, 잠재적인 “EternalBlue 순간”이라고 묘사했다.
Google은 제로데이 익스플로잇 프레임워크를 둘러싼 활발한 ‘중고 시장’이 존재하며, Coruna 사례는 국가급 도구가 중개인을 거쳐 명확한 인계 지점 없이 범죄 인프라로 흘러드는 양상을 다시 한 번 보여준다고 지적했다.
NSA는 논평 요청에 응하지 않았다. Apple은 현재 알려진 모든 Coruna 취약점을 포괄하는 보안 패치를 배포한 상태다.
이어 읽기: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act