구글의 위협 인텔리전스 그룹(GTIG)은 애플 아이폰 사용자를 겨냥한 최신 iOS 익스플로잇 키트인 ‘코루나(Coruna)’를 발견했다. 이 공격의 주목적은 암호화폐 지갑의 복구용 문구, 즉 시드 문구를 훔쳐 자산을 탈취하는 것이다. 구글은 코루나가 iOS 13.0부터 17.2.1 버전까지의 구버전 아이폰을 대상으로 하고 있으며, 이 익스플로잇 키트에는 공개된 적이 없는 제로데이 취약점도 포함되어 있다고 밝혔다. 코루나는 총 23개의 익스플로잇으로 구성되어 있으며, 5개의 완전한 익스플로잇 체인을 갖추고 있다.

GTIG는 코루나의 존재를 2025년 2월에 처음 확인하고, 이에 의해 러시아에서 출발한 의심스러운 첩보 조직이 우크라이나의 사용자들을 표적 삼아 공격한 정황을 추적해왔다. 이후에는 암호화폐 탈취를 목적으로 하는 가짜 중국계 암호화폐 사이트에서도 이 도구가 사용된 것으로 보인다고 설명했다. 구글은 코루나가 최신 iOS 버전에서는 작동하지 않는다고 덧붙이며, 사용자들에게 운영 체제를 최신 버전으로 업데이트할 것을 강력히 권고했다. 만약 업데이트가 불가능하다면, 애플이 제공하는 ‘록다운 모드(Lockdown Mode)’를 활성화하여 고도화된 표적 공격의 위험을 줄일 것을 제안했다.

이 익스플로잇 키트는 특정 웹사이트를 통해 사용자 기기에 침투하는 방식으로 작용하며, 사용자 기기의 정보를 수집하여 공격 성공률을 높이는 지문채취(fingerprinting) 기법을 활용한다. 사용자가 특정 금융 사이트에 접속할 경우, 코루나가 해당 아이폰의 금융 정보를 탐색하는 코드를 전송하여 시드 문구와 같은 민감한 정보를 수집하려는 의도를 드러내고 있다.

코루나의 출처를 둘러싼 논란도 존재한다. GTIG는 이 익스플로잇 키트의 원천에 대해 구체적으로 밝히지 않았으나, 모바일 보안 업체 아이베리파이는 미국 정부가 이 도구를 개발하거나 구매했을 가능성을 제기하고 있다. 특히 이 도구가 매우 정교한 특성을 지니고 있어 높은 개발 비용이 소요되었을 것으로 보인다. 반면, 카스퍼스키 측은 코루나의 실제 코드 재사용 증거가 부족하다는 신중한 입장을 표명했다.

이번 사건은 스마트폰 보안 업데이트의 중요성을 한 번 더 인식시키며, 이용자들이 보안 소프트웨어 및 기능을 충분히 활용해야 함을 일깨우고 있다. 이에 따라 금융 기관 및 암호화폐 거래소의 보안에 대한 주의와 함께, 이용자들은 OS 업그레이드와 록다운 모드와 같은 방어 기법을 적극적으로 활용해야 할 필요가 있다.

구글의 조언에 따르면 사용자는 가짜 웹사이트에 접속하기 전 반드시 도메인을 확인하고, 암호화폐 관련 정보를 온라인 텍스트로 관리하지 않아야 하며, 오프라인에서 안전하게 보관하는 것이 중요하다.