최근 아이폰(iOS) 사용자들이 '안전한 환경'으로 믿었던 것이 더 이상 안심할 수 없는 상황이 되었다. 구글 위협 분석 그룹(TAG)에 따르면, 23개의 iOS 취약점을 이용한 '코루나(Coruna) 익스플로잇 키트'가 유포되고 있으며 이 공격은 단순한 광고나 앱 충돌을 넘어 암호화폐 지갑의 시드 구문(BIP39)과 개인키를 노리는 방식으로 자산 탈취를 시도한다.

코루나는 감염 사실을 숨기며 브라우저 취약점을 악용하여 사용자의 기기 내부를 탐색한다. 주로 노트 앱에 저장된 니모닉을 찾고, 사진 라이브러리의 QR코드를 추출하며, 패치가 이루어지지 않은 기기에서는 개인키를 빼내어 지갑을 '드레이너(drainer)' 형식으로 비우는 시나리오가 존재한다. 이러한 구조는 사용자가 브라우저가 감염된 사실을 인지하기도 전에 자금이 탈취되는 방식으로 작동한다.

이 새로운 위협은 공격의 수준이 변화하고 있다는 점에서 더욱 심각하다. 과거에는 다단계 익스플로잇 체인이 국가 지원 해킹조직이나 특정 표적 감시에 적합한 기술로 여겨졌지만, 코루나는 이러한 고급 기술을 대중 범죄 도구로 바꾸어 유통시키는 경향을 보인다. 이는 이제 고가 표적만이 아니라 일반 사용자들 또한 공격의 대상으로 삼고 있음을 의미한다.

시장 환경 또한 이러한 공격에 힘을 실어준다. 온체인 분석 업체 체이널리시스에 따르면, 2025년에는 암호화폐 절도 시장이 약 750억 달러에 이를 것으로 예상되고 있으며, 그중 상당 부분이 지갑 드레이너와 같은 자동화된 도구에 의해 이루어질 것으로 전망된다. 이는 모바일 이용자들이 많은 시장에 직접적인 타격을 줄 수 있다.

코루나는 사용자가 감염된 웹사이트에 접속하면 즉시 작동하는 '1클릭' 공격 형태로 설계되었다. 사용자는 도박 플랫폼이나 뉴스 페이지로 위장한 사이트에 클릭하게 되고, 기기 침투를 위해 웹킷(WebKit) 계열의 취약점이 악용된다. 이후 로컬 권한 상승(Local Privilege Escalation) 취약점을 통해 브라우저의 샌드박스를 탈출하여 권한을 확장하는 방식이다.

구글 TAG가 분석한 바에 따르면, iOS 13.0부터 17.2.1까지 다양한 버전에서 이 방식이 확인되었으며, 이는 단일 취약점이 아닌 '다중 진입점'을 활용하여 최종적으로 암호화폐 지갑 드레이너를 목표한다. 피해자들은 개인키, 시드 구문 및 QR코드를 즉시 탈취당하게 되며, 이로 인해 자산 통제권이 넘어간다. 이러한 공격은 한 번 성공하면 즉각적인 피해가 발생하게 되어 블록체인 자산의 거래 취소가 불가능하므로, 개인 사용자에게 심각한 위협이 된다.

현재 모바일 거래를 하는 아이폰 사용자라면 즉시 iOS의 최신 업데이트를 적용하고 보안 패치를 확인하는 것이 자산 방어의 최전선이 된다. 노트 앱이나 사진첩에 시드 구문 및 개인키와 관련한 정보가 남아 있는지 다시 점검하고, 가능한 경우 오프라인에서 보관해야 한다. 또한, 장기 보관 자산을 콜드월렛으로 옮기고 모바일 지갑은 소액만 운영하는 것이 바람직하다.

메타마스크(MetaMask)와 트러스트 월릿(Trust Wallet)과 같은 비수탁형 지갑을 주 대상으로 삼은 코루나의 공격은 특히 우려스럽다. 회색지대 웹사이트, 의심스러운 에어드롭 페이지 및 서드파티 앱스토어 방문을 최소화하고, 공격자들이 노리는 웹사이트 접속을 줄여야 한다. 한편, 비수탁형 지갑에 강력한 비밀번호와 생체 인증을 설정하고 비밀번호 저장 방식을 재점검하는 것이 중요하다.

결론적으로, 업계 전문가들은 코루나의 속성을 이해하고 이에 따른 적절한 보안 조치를 신속하게 취하는 것이 필수적이라고 강조하고 있다. 아이폰도 더 이상 안전하다는 믿음은 간과해야 하며, 사용자 스스로 안전한 거래 환경을 조성하는 노력이 필요하다.