구글, iOS 가상자산 피싱 공격용 제로데이 취약점 발견…"최신 버전 업데이트 필수"

'코루나' 익스플로잇 킷, iOS 13.0~17.2.1 타겟…23개 취약점 활용해 지갑 니모닉 탈취

구글 위협 연구팀이 애플 아이폰 사용자를 겨냥한 신종 익스플로잇 킷을 발견했다. 이 악성 도구는 가상자산 지갑의 니모닉(복구 문구)을 탈취하기 위해 제작됐으며, 중국어 가짜 가상자산 웹사이트를 통해 유포된 것으로 확인됐다.

구글 위협 인텔리전스 그룹(GTIG)은 금일 발표한 보고서에서 개발자가 '코루나(Coruna)'로 명명한 이 익스플로잇 킷이 iOS 13.0부터 17.2.1 버전을 실행하는 아이폰을 표적으로 삼고 있다고 밝혔다.

GTIG에 따르면 이 도구는 5개의 완전한 iOS 익스플로잇 체인으로 구성돼 있으며, 총 23개의 익스플로잇 프로그램을 포함하고 있다. 특히 이전에 공개되지 않은 제로데이 취약점도 포함된 것으로 확인됐다.

연구팀은 2025년 2월 이 익스플로잇 킷을 처음 발견했으며, 사용 경로를 추적한 결과 러시아로 추정되는 스파이 조직이 우크라이나 사용자를 대상으로 사용한 것으로 나타났다. 이후 가상자산을 탈취하기 위한 중국어 가짜 가상자산 웹사이트에서도 해당 도구가 발견됐다.

GTIG는 "이 익스플로잇 킷은 최신 버전의 iOS에서는 작동하지 않는다"며 "아이폰 사용자는 시스템을 최신 버전으로 업데이트할 것을 강력히 권고한다"고 밝혔다.

또한 "업데이트가 불가능한 경우, 사용자는 휴대폰의 '잠금 모드(Lockdown Mode)'를 활성화해야 한다"며 "애플은 이 모드가 이러한 고급 공격을 방어할 수 있다고 밝혔다"고 덧붙였다.

가상자산 업계 관계자들은 "니모닉 문구가 탈취되면 지갑 내 모든 자산을 완전히 통제당할 수 있다"며 "iOS 사용자들은 즉시 시스템 업데이트를 진행하고, 출처가 불분명한 가상자산 관련 웹사이트 접속을 피해야 한다"고 경고했다.

최주훈 joohoon@blockstreet.co.kr