첫페이지
암호화폐
속보
원우주
체인 투어
DeFi
NFT
구글, 아이폰 구버전 노린 iOS 익스플로잇 ‘코루나’ 포착…시드 문구 탈취 정황
2026/03/06

구글 위협 인텔리전스 그룹이 iOS 13.0~17.2.1 구버전 아이폰을 겨냥한 익스플로잇 키트 ‘코루나’를 포착했으며, 암호화폐 지갑 시드 문구 탈취를 노린 정황이 확인됐다.

러시아발로 의심되는 표적 공격과 가짜 중국계 금융·거래소 사이트에서의 활용 흔적이 제기됐고, 구글은 iOS 최신 업데이트 또는 록다운 모드 활성화를 권고했다.

구글, 아이폰 구버전 노린 iOS 익스플로잇 ‘코루나’ 포착…시드 문구 탈취 정황 / TokenPost.ai

구글, 아이폰 구버전 노린 iOS 익스플로잇 ‘코루나’ 포착…시드 문구 탈취 정황 / TokenPost.ai

구글 위협 인텔리전스 그룹(GTIG)이 애플 아이폰(iPhone) 이용자를 노린 신규 iOS 익스플로잇 키트(취약점 공격 도구)를 포착했다. 목표는 암호화폐 지갑의 ‘시드 문구(seed phrase·복구용 문구)’를 훔쳐 지갑을 탈취하는 것이다.

GTIG는 5일(현지시간) 공개한 보고서에서 이 익스플로잇 키트가 개발자들에 의해 ‘코루나(Coruna)’로 불리며, iOS 13.0부터 17.2.1까지 구버전 아이폰을 겨냥한다고 밝혔다. GTIG에 따르면 코루나는 ‘5개의 완전한 iOS 익스플로잇 체인’과 총 23개 익스플로잇으로 구성돼 있으며, 이 중에는 공개된 적 없는(제로데이로 추정되는) 취약점도 포함됐다.

GTIG는 코루나를 2025년 2월 처음 확인한 뒤, 러시아발로 의심되는 첩보 조직이 우크라이나 이용자를 대상으로 활용한 정황을 추적해 왔다고 설명했다. 이후에는 암호화폐 탈취를 노린 ‘가짜 중국계 암호화폐 사이트’에서도 동일한 도구가 쓰인 흔적이 확인됐다는 게 GTIG의 결론이다.

구글은 코루나가 iOS 최신 버전에서는 작동하지 않는다고 덧붙였다. 이에 따라 아이폰 이용자에게 운영체제를 최신 버전으로 업데이트할 것을 권고했다. 업데이트가 어렵다면 애플이 고도화된 표적 공격을 방어하기 위한 기능으로 소개해 온 ‘록다운 모드(Lockdown Mode)’를 활성화하는 방식도 대안으로 제시했다.

가짜 웹사이트로 유입…시드 문구·금융정보 노린다

GTIG는 2025년 2월, 한 감시(surveillance) 업체의 고객이 자바스크립트를 이용해 사용자의 기기를 ‘지문채취(fingerprinting)’한 뒤, 기기 환경에 맞는 익스플로잇을 전달하는 흐름을 일부 포착했다고 밝혔다. 기기 지문채취는 접속 기기의 모델, 브라우저, OS 버전 등 정보를 수집해 공격 성공률을 높이는 방식으로 악용되곤 한다.

이후 2025년 하반기에는 동일한 자바스크립트 프레임워크가 여러 개의 침해된 우크라이나 웹사이트에 숨겨져 있었고, 이 코드는 ‘특정 지리적 위치(geolocation)의 선별된 아이폰 사용자’에게만 전달되도록 설계돼 있었다고 GTIG는 설명했다. 불특정 다수를 무차별 감염시키기보다 표적을 좁혀 탐지 가능성을 낮추는 전형적인 수법이라는 평가가 나온다.

GTIG는 같은 프레임워크가 2025년 12월에는 “대규모의 가짜 중국 웹사이트 세트”에서도 발견됐다고 밝혔다. 이들 사이트는 주로 금융을 주제로 꾸며졌고, 일부는 암호화폐 거래소 위익스(WEEX)를 사칭한 것으로 전해졌다.

사용자가 iOS 기기로 해당 웹사이트에 접속하면, 프레임워크가 코루나 익스플로잇 키트를 내려보내고 금융 정보를 탐색하기 시작한다. GTIG는 특히 공격 코드가 시드 문구가 포함된 텍스트를 분석하거나 ‘backup phrase’, ‘bank account’ 같은 키워드를 찾아내는 방식으로 민감 정보를 수집하려 했다고 밝혔다.

또한 코루나는 유니스왑(Uniswap)과 메타마스크(MetaMask) 등 인기 암호화폐 앱을 찾아 암호화폐나 민감 정보를 빼내려는 기능도 갖춘 것으로 파악됐다.

“미 정부 도구 가능성” vs “코드 재사용 증거 없다”

코루나의 출처를 둘러싼 해석은 엇갈린다. GTIG는 해당 익스플로잇 키트가 어느 감시 업체 고객으로부터 비롯됐는지 구체적으로 밝히지 않았다. 다만 모바일 보안업체 아이베리파이(iVerify)는 WIRED에 “미국 정부가 구축했거나 구매했을 가능성”을 제기했다.

아이베리파이 공동창업자 로키 콜(Rocky Cole)은 “매우 정교하며 개발에 수백만 달러(수백억 원대)가 들었을 수준이고, 과거 공개적으로 미국 정부에 귀속된(other modules) 모듈들의 특징을 갖고 있다”고 주장했다. 그는 “코드가 말해주는 바에 근거하면, ‘미 정부 도구’로 보이는 수단이 통제 불능 상태로 확산돼 적대 세력과 사이버범죄 집단 모두에게 활용되는 첫 사례”라고도 했다.

반면 카스퍼스키(Kaspersky) 측은 보다 신중한 입장이다. 카스퍼스키의 한 수석 보안 연구원은 더 레지스터(The Register)에 “공개된 보고서만으로는 코루나를 동일한 작성자에게 귀속(attribution)할 만큼의 ‘실제 코드 재사용’ 증거를 보지 못했다”고 말했다.

iOS 익스플로잇 키트와 시드 문구 탈취가 결합된 이번 사례는, 스마트폰 보안 업데이트 지연이 곧바로 자산 위험으로 이어질 수 있음을 보여준다. 업계에서는 거래소·지갑 앱 보안뿐 아니라, 이용자 단말의 OS 최신화와 ‘록다운 모드’ 같은 방어 기능 활용이 암호화폐 보안의 기본 전제가 되고 있다고 보고 있다.

기사요약 by TokenPost.ai

火币
관련읽기
아이폰도 안전지대 아니다…23개 iOS 취약점 악용 ‘코루나’ 키트, 시드 구문·개인키 노린다
BC.GAME, 제3자 게임 익스플로잇 피해 추적…43억 원대 탈취 의심 지갑에 현상금
구글, 아이폰 겨냥 ‘코루나’ 익스플로잇 경고…크립토 지갑 시드 문구 탈취 우려



Copyright © 2007-2020 대한웹3미디어 WEB3INKOREA All Rights Reserved.