라떼군 이야기
모바일 보안의 '이터널블루' 사태: 미 정부 추정 아이폰 해킹 툴 '코루나'는 어떻게 범죄자들의 손에 들어갔나
TL;DR 미 정부가 수백만 달러를 들여 개발한 것으로 추정되는 최고급 아이폰 해킹 툴킷 ‘코루나(Coruna)‘가 러시아 스파이와 사이버 범죄자들의 손에 넘어갔습니다. 웹사이트 방문만으로 기기를 장악하는 이 툴은 이미 수만 대의 기기를 감염시켰으며, 국가 주도 사이버 무기 유출의 위험성을 여실히 보여줍니다.
2017년, 미 국가안보국(NSA)의 해킹 툴 ‘이터널블루(EternalBlue)‘가 유출되어 전 세계를 랜섬웨어 공포에 빠뜨린 사건을 기억하시나요? 이제 모바일 생태계에서 그와 맞먹는 충격적인 사건이 발생했습니다. 구글과 보안 업체 iVerify는 ‘코루나(Coruna)‘라는 고도화된 아이폰 해킹 툴킷이 익스플로잇 브로커 시장을 거쳐 러시아 스파이와 암호화폐 탈취 범죄 조직에까지 흘러 들어갔다고 밝혔습니다. 이 사건은 단순히 새로운 악성코드의 등장이 아니라, 국가 단위의 사이버 무기가 통제 불능 상태로 민간에 유출되었을 때 어떤 파장을 일으키는지 보여주는 중요한 사례입니다.
핵심 내용
‘코루나’는 23개의 개별 iOS 취약점을 엮어, 사용자가 특정 웹사이트에 접속하기만 해도 기기 방어망을 우회해 악성코드를 설치하는 매우 정교한 툴킷입니다. 구글과 iVerify의 분석에 따르면, 이 툴킷은 단일 저자에 의해 고도의 모듈화된 형태로 작성되었으며 개발에만 수백만 달러가 들었을 것으로 추정됩니다. 특히 과거 러시아가 미국 NSA의 소행이라고 지목했던 ‘오퍼레이션 트라이앵귤레이션(Operation Triangulation)‘과 코드의 유사성이 발견되어, 미 정부의 하청업체가 개발했을 가능성에 무게가 실리고 있습니다. 현재 이 툴킷은 중국어권 암호화폐 및 도박 사이트를 통해 최소 4만 2천 대 이상의 기기를 감염시킨 것으로 파악됩니다. 다행히 최신 iOS 버전(17.2.1 이후)과 애플의 강력한 보안 설정인 ‘차단 모드(Lockdown Mode)‘를 활성화한 기기에서는 작동하지 않습니다.
기술적 인사이트
소프트웨어 엔지니어링 관점에서 코루나는 ‘익스플로잇 체이닝(Exploit Chaining)‘과 ‘소프트웨어 아키텍처’의 극치를 보여줍니다. 23개의 각기 다른 취약점을 하나의 파이프라인으로 연결하여 제로클릭/원클릭 감염을 구현했다는 것은, 브라우저 렌더링 엔진(WebKit)부터 OS 커널에 이르는 전체 스택에 대한 깊은 이해가 없이는 불가능합니다. 또한, 나중에 이 툴을 입수한 범죄자들이 조잡한 암호화폐 탈취 코드를 덧붙였음에도 원본 프레임워크가 완벽하게 작동했다는 점은 이 툴킷이 얼마나 확장성 있고 견고하게 설계되었는지 증명합니다. 이는 국가 주도의 해킹 툴이 단순한 스크립트 모음이 아니라, 유지보수와 확장이 용이한 ‘엔터프라이즈급 소프트웨어’의 형태를 띠고 있음을 시사합니다. 방어자 입장에서는 개별 취약점 패치를 넘어, 이러한 정교한 체이닝을 끊어낼 수 있는 샌드박싱과 권한 분리 아키텍처의 고도화가 더욱 절실해졌습니다.
시사점
이 사건은 모바일 보안 생태계에 심각한 경고를 던집니다. 과거에는 국가 기관만이 보유했던 APT(지능형 지속 위협) 수준의 제로데이 공격 무기가 이제는 자본력만 있다면 일반 사이버 범죄자도 구매하고 재사용할 수 있는 ‘중고 시장’이 형성되었음을 의미하기 때문입니다. 개발자와 보안 실무자는 이제 ‘우리의 타깃 고객은 국가 기관의 공격 대상이 아니다’라는 안일한 가정을 버리고, 앱 내 웹뷰(WebView) 사용 시 보안 정책을 강화하고 서드파티 의존성을 철저히 검증하는 등 ‘Zero Trust’ 관점의 모바일 보안 전략을 기본 전제로 삼아야 합니다.
국가 안보를 위해 개발된 사이버 무기가 결국 자국민과 전 세계 사용자를 위협하는 부메랑으로 돌아오는 ‘사이버 무기 확산’의 딜레마를 우리는 어떻게 해결해야 할까요? 모바일 기기가 우리의 모든 일상을 담고 있는 지금, 소프트웨어의 취약점을 무기화하는 산업에 대한 윤리적, 제도적 통제에 대해 진지하게 논의해야 할 시점입니다.