미국정부가 만든 아이폰 해킹 도구 '코루냐(Coruna)', 이제는 범죄자 손에?!

 

 

 

보안 뉴스를 보다가 정말 충격적인 소식을 접했습니다.

미국 정부가 개발한 것으로 추정되는 아이폰 해킹 도구가 범죄 집단의 손에 넘어갔다는 이야기입니다...

 

오늘은 이 '코루냐(Coruna)' 사태에 대해 정리해볼게요.

 

 

코루냐(Coruna)가 뭔데요?

 

코루냐는 아이폰을 해킹하기 위한 고도의 공격 툴킷(exploit kit)입니다.

 

구글의 위협 인텔리전스 그룹(GTIG)이 2025년 2월 처음 발견했는데요.

처음엔 어떤 감시 업체가 정부 고객을 위해 특정인의 아이폰을 해킹하는 데 사용하는 걸 포착했다고 합니다.

 

그런데 이게 문제의 시작이었죠.

 

그 이후로 코루냐는 러시아 스파이 조직 → 중국 사이버범죄 집단 순서로 손을 옮겨 다니며 전혀 다른 목적으로 악용되기 시작했습니다.

 

 

얼마나 무서운 도구인가요?

 

솔직히 말씀드리면... 엄청나게 무섭습니다

 

코루냐가 어떤 수준인지 간단하게 설명해드릴게요.

 

- 23개의 iOS 취약점을 조합해서 공격합니다.

- 총 5가지 완전한 공격 체인을 갖추고 있어요.

- 공격 대상 범위는 iOS 13(2019년 9월) ~ iOS 17.2.1(2023년 12월)까지입니다.

- 개발에 수백만 달러가 투입된 것으로 추정됩니다.

 

가장 무서운 점은 따로 있어요.

그냥 웹사이트만 방문해도 감염됩니다!

앱을 설치하거나 무언가를 클릭할 필요도 없어요.

해킹 코드가 심어진 웹페이지에 접속하는 것만으로도 아이폰이 조용히 감염됩니다.

이런 방식을 보안 업계에서는 '워터링홀(Watering hole) 공격'이라고 부릅니다.

 

 

어떤 경로로 범죄자들 손에 넘어갔나요?

 

코루냐의 확산 경로를 시간순으로 정리해보면 이렇습니다.

 

- 2025년 2월 : 구글, 감시 업체가 정부 고객 의뢰로 해킹에 사용하는 걸 최초 포착

- 2025년 몇 달 후 : 러시아 스파이 조직(UNC6353)이 동일한 툴킷을 우크라이나 웹사이트 수십 곳에 심어 특정 지역 아이폰 사용자들을 광범위하게 공격

- 2025년 12월 : 중국 기반 금전 목적 해킹 그룹(UNC6691)이 가짜 암호화폐 거래소, 금융 사이트 등에서 무차별적으로 사용. 이 과정에서 약 4만 2천 대 기기가 피해를 입은 것으로 추정

 

어떻게 손을 옮겨다녔는지는 명확하지 않지만,

보안 전문가들은 제로데이 익스플로잇 브로커(중개상)들이 개입된 것으로 보고 있습니다.

좋은 조건만 맞으면 누구에게든 팔아치우는 무기 장수들이죠...

 

 

정말 미국 정부가 만든 건가요?

 

모바일 보안 기업 iVerify가 코루냐를 역공학(리버스 엔지니어링)으로 분석했는데요.

미국 정부가 만든 다른 해킹 도구들과 매우 유사한 특징을 발견했다고 합니다.

 

iVerify 공동창업자이자 전직 NSA 직원인 록키 콜(Rocky Cole)은 이렇게 말했습니다.

 

"이건 수백만 달러가 투입된 고도의 정교한 도구입니다.
코드를 보면 미국 정부와 연결된 흔적이 분명히 있어요."

 

특히 '오퍼레이션 트라이앵귤레이션(Operation Triangulation)'이라는 2023년 해킹 작전에 쓰인 코드 조각들이 코루냐 안에도 들어있다는 게 핵심 근거입니다.

러시아 정부는 당시 이 작전을 NSA의 소행이라고 주장했는데,

미국 측은 공식 답변을 내놓지 않았죠.

 

물론 미국 정부가 직접 만들었다고 100% 확인된 건 아닙니다.

하지만 정황상 증거들이 상당히 강력한 건 사실이에요.

 

 

중국 범죄 조직은 어떻게 악용했나요?

 

중국 범죄 집단이 코루냐를 손에 넣은 뒤에는 원래 기능에 금융 정보 탈취 기능을 추가했습니다.

 

'PlasmaLoader'라는 악성 프로그램을 통해 아이폰의 루트 시스템에 침투한 뒤:

 

- 메타마스크, 트러스트 월렛, Phantom, Exodus 등 암호화폐 지갑 앱 직접 공격

- 저장된 사진에서 QR코드 스캔 (암호화폐 니모닉 탈취)

- 애플 메모 앱에서 시드 구문, 금융 키워드 검색

 

한마디로 아이폰에 저장된 암호화폐 자산을 통째로 털어가는 구조입니다.

 

 

이전에도 이런 일이 있었나요?

 

사실 이게 처음 있는 일은 아닙니다.

 

2017년에도 비슷한 사태가 있었어요.

미국 NSA가 개발한 '이터널블루(EternalBlue)'라는 윈도우 해킹 도구가 유출된 적이 있거든요.

결국 이 도구는 북한이 전 세계에 뿌린 워너크라이(WannaCry) 랜섬웨어 공격에 사용되었고 엄청난 피해가 발생했습니다.

 

코루냐를 발견한 록키 콜도 이번 사태를 두고 "제2의 이터널블루 사태"라고 표현했습니다.

 

게다가 최근에는 미국 방산업체 직원이 자사의 해킹 도구를 러시아에 팔아넘기다 7년 이상 징역형을 선고받은 사건도 있었습니다.

정부의 강력한 해킹 도구가 '안전하게' 관리될 거라는 보장은 없는 셈이죠.

 

 

내 아이폰은 안전한가요?

 

다행히 최신 iOS로 업데이트되어 있다면 안전합니다!

 

코루냐는 iOS 17.2.1 이하 버전에서만 작동하도록 설계되어 있어요.

Apple은 이미 관련 취약점들을 최신 iOS에서 패치 완료했습니다.

 

지금 당장 확인해보세요!

 

설정 → 일반 → 소프트웨어 업데이트

 

만약 기기가 너무 구형이라 최신 iOS를 지원하지 않는다면, 그 기기는 이번 공격에 취약할 수 있습니다.

 

또한 '잠금 모드(Lockdown Mode)'를 활성화하면 코루냐가 공격 자체를 포기합니다.

다만 잠금 모드는 기능 제한이 매우 심해서 일반 사용자보다는 고위험 직군(기자, 정치인, 기업 임원 등)에게 권장되는 기능입니다.

 

 

마무리하며...

 

이번 코루냐 사태는 단순한 해킹 도구 유출 사건이 아닙니다.

 

"좋은 목적으로 만든 강력한 도구도, 언젠가는 나쁜 손에 들어갈 수 있다"는 걸 다시 한번 보여주는 사례입니다.

 

Apple이 FBI나 각국 정부의 '백도어 요구'를 계속 거부해온 이유가 바로 여기에 있습니다.

백도어는 처음엔 좋은 의도로 만들어질지 몰라도, 결국 모든 사람에게 위협이 될 수 있으니까요.

 

여러분 모두 아이폰 최신 버전으로 꼭 업데이트해두시기 바랍니다!

 

 

 

 

#코루냐 #Coruna #아이폰보안 #iOS해킹 #사이버보안 #해킹도구유출 #iVerify #구글위협인텔리전스 #제로데이 #워터링홀공격 #이터널블루 #iOS업데이트