아이폰도 안전지대 아니다…23개 iOS 취약점 악용 ‘코루나’ 키트, 시드 구문·개인키 노린다

아이폰(iOS)을 ‘상대적으로 안전한 환경’으로 믿고 모바일에서 암호화폐를 거래·보관해온 이용자라면 경고등이 켜졌다. 구글 위협분석그룹(TAG)이 23개 iOS 취약점을 묶어 악용하는 ‘코루나(Coruna) 익스플로잇 키트’가 실제 유포 중이며, 단순 광고·앱 충돌 수준이 아니라 암호화폐 지갑의 ‘시드 구문’(BIP39)과 개인키를 노려 자산을 탈취하는 방식이라는 점이 핵심이다.

보고서에 따르면 코루나는 감염 사실을 티 내지 않은 채 브라우저 취약점을 발판으로 기기 내부를 훑는다. 노트 앱에 기록된 니모닉(시드 구문)을 찾고, 사진첩의 QR코드를 추출하며, 패치되지 않은 기기에서는 개인키를 빼내 지갑을 ‘드레이너(drainer)’ 방식으로 비우는 시나리오가 가능하다. 사용자가 브라우저가 뚫렸다는 사실을 알아차리기도 전에 자금이 빠져나가는 구조다.

이 위협이 더 위중하게 평가되는 이유는 공격의 ‘급’이 바뀌었기 때문이다. 그동안 다단계 익스플로잇 체인(연쇄 취약점 공격)은 국가 지원 해킹조직이나 고가 표적 감시에 쓰이는 영역으로 여겨졌다. 그런데 코루나는 그런 수준의 기술을 ‘대중형 범죄 도구’로 포장해 유통시키는 흐름을 보여준다. 고가 표적을 노리던 첩보 도구가 리테일 절도로 전환되는 ‘정권 교체(regime change)’가 현실화됐다는 경고다.

시장 배경도 녹록지 않다. 온체인 분석업체 체이널리시스는 2025년 암호화폐 절도 시장 규모가 750억달러(약 111조1,500억원·$1=1,482원 기준)를 웃돈다고 추산한 바 있다. 이 가운데 지갑 드레이너가 상당 비중을 차지한다는 점을 감안하면, iOS 생태계를 노린 자동화형 탈취 키트의 확산은 모바일 이용자 기반이 큰 시장에 직접적인 충격을 줄 수 있다.

23개 iOS 취약점 묶은 ‘1클릭’ 공격…웹사이트 방문만으로 지갑 노린다

코루나는 사용자가 ‘감염된 웹사이트’에 접속하는 순간 작동하는 ‘1클릭’ 공격 형태로 설명된다. 위장 사이트는 도박 플랫폼이나 뉴스 페이지처럼 보일 수 있으며, 사용자의 클릭을 유도해 웹킷(WebKit) 계열 취약점을 통해 기기 침투를 시도한다. 이후 브라우저 샌드박스를 벗어나기 위해 로컬 권한 상승(Local Privilege Escalation) 취약점을 연쇄적으로 사용한다.

구글 TAG는 iOS 13.0부터 17.2.1까지 여러 버전을 분석하는 과정에서, 단일 취약점이 아니라 ‘다중 진입점’을 활용해 페이로드를 전달하는 방식을 확인했다. 최종 목적지는 암호화폐 지갑 드레이너로, 기기 파일 시스템에서 암호화폐 관련 문자열을 탐색하고, 사진 라이브러리에서 QR코드를 확인하며, 노트 앱에서 니모닉 문구를 추출하는 등 자동화된 수집 동작이 포함된다.

이런 유형의 공격은 한 번 성공하면 피해가 ‘즉시’ 발생하고 되돌리기 어렵다. 블록체인 자산은 거래 취소가 사실상 불가능해, 개인키·시드 구문이 유출되는 순간 자산 통제권 자체가 넘어간다. 모바일로 거래하거나 지갑을 보관하는 아이폰 이용자라면, 운영체제 업데이트와 보안 패치 여부가 곧 ‘자산 방어선’이 되는 셈이다.

국가급 악성기술의 ‘상용화’…표적 감시에서 유동성 절도로

과거에는 이 정도 복잡도의 익스플로잇 체인이 NSO그룹 같은 업체나 국가 단위 공격자에게 ‘독점’되다시피 했다. 반체제 인사, 기자, 외교관 등 고가치 표적을 감시하기 위한 도구가 우선순위였고, 대규모 리테일 절도에 쓰기엔 비용·운용 난도가 높았다.

하지만 코루나는 흐름을 뒤집는다. ‘오퍼레이션 트라이앵귤레이션(Operation Triangulation)’처럼 국가 지원이 의심되는 캠페인에서 무기화된 취약점 운용 방식이, 금전 목적의 범죄 조직에게 넘어가 대량 절도로 전용되는 경로를 보여준다. 결과적으로 메타마스크(MetaMask)나 트러스트 월릿(Trust Wallet) 같은 비수탁형 지갑을 노리는 공격의 ‘진입장벽’이 무너지고, 숙련도가 낮은 공격자도 키트를 사서 실행하는 그림이 가능해진다.

사이버 보안 업계에서는 첩보용 도구가 시간이 지나면 범죄 생태계로 흘러들어가는 ‘누출 패턴’이 반복돼 왔다. 코루나의 공격자들이 원하는 것은 국가 기밀이 아니라 ‘유동성’이다. 아이베리파이(iVerify)는 이 익스플로잇의 영향이 최소 4만2,000대 기기에 미쳤다고 문서화했지만, 총 피해액은 아직 공개되지 않았다. 다만 드레이너 특성상 피해가 분산·누적될 가능성이 크다는 점이 불안 요소다.

모바일 트레이더가 특히 취약…비수탁형 지갑 데이터 디렉터리 직접 겨냥

표적은 비교적 명확하다. 모바일로 거래하고, 거래소가 아닌 ‘자가 수탁’(self-custody) 지갑을 쓰는 이용자다. 공격 벡터는 암호화폐 이용자가 자주 들르는 회색지대 웹사이트에 숨어드는 경향이 있다. 규제 밖 도박 인터페이스, 의심스러운 토큰 클레임(에어드롭) 페이지, 서드파티 앱스토어 등이 대표적이다.

코루나는 주요 비수탁형 지갑의 데이터 디렉터리를 특정해 탐색하며, 메타마스크(MetaMask), 비트겟 월릿(Bitget Wallet, 구 비트킵), 트러스트 월릿(Trust Wallet)과 연관된 저장소를 찾는 것으로 알려졌다. 금고(vault)가 약하게 암호화돼 있거나, 사용자가 비밀번호를 키체인·메모 등에 저장해둔 상태에서 기기 자체가 뚫리면 지갑이 비워질 수 있다.

이 위험은 이용 습관과도 맞물린다. 모바일 트레이더는 이동 중 디앱(DApp)에 접속하고 거래 서명을 빠르게 처리하는 경우가 많아, 보안 위생보다 속도를 우선하기 쉽다. 코루나의 무서운 지점은 ‘악성 트랜잭션 서명 유도’ 같은 전통적 피싱이 필요 없다는 데 있다. 사용자가 웹서핑하는 동안 ‘성의 열쇠’인 키를 훔쳐가면 끝이다.

당분간은 iOS 최신 업데이트 적용 여부를 우선 점검하고, 메모·사진첩 등에 시드 구문이나 지갑 관련 정보가 남아 있는지 재확인하는 것이 급선무다. 시장에서는 장기 보관 자산을 콜드월렛(예: 레저, 트레저)로 옮기는 방식이 재차 부각될 가능성이 크다. 모바일 환경의 편의성이 커질수록 공격자들이 노리는 표면도 넓어지는 만큼, ‘아이폰은 안전하다’는 가정 자체를 업데이트할 시점이라는 지적이 나온다.

기사요약 by TokenPost.ai

🔎 시장 해석

- 구글 TAG가 23개 iOS 취약점을 묶어 악용하는 ‘코루나(Coruna) 익스플로잇 키트’의 실제 유포를 확인하며, iOS의 ‘상대적 안전 신화’가 흔들리는 국면

- 단순 피싱이 아니라 기기 내부(노트/사진/지갑 데이터)에서 시드 구문(BIP39)·개인키를 직접 탈취하는 구조로, 모바일 자가수탁 이용자층에 체계적 리스크 확대

- 체이널리시스가 추산한 2025년 암호화폐 절도 시장(약 750억달러) 성장 흐름 속에서 ‘지갑 드레이너’형 자동화 도구 확산이 시장 신뢰와 모바일 온보딩에 부담으로 작용 가능

💡 전략 포인트

- 즉시 iOS 최신 업데이트 적용(패치 여부가 곧 자산 방어선) 및 사용 중인 단말이 iOS 13.0~17.2.1 영향권인지 점검

- 노트 앱/사진첩/파일 앱/클립보드 등에 시드 구문, 개인키, 지갑 QR, 복구코드 캡처본이 남아있는지 전수 점검 후 삭제(가능하면 오프라인에만 보관)

- 장기 보관 자산은 콜드월렛(예: Ledger, Trezor)로 분리하고, 모바일 지갑은 ‘소액 운영용’으로 한도를 설정

- 회색지대 웹사이트(도박·에어드롭 클레임·의심 DApp·서드파티 스토어) 접속 최소화, 링크 클릭 기반 ‘1클릭 감염’ 전제를 두고 브라우징 습관 재정비

- 비수탁형 지갑의 앱 잠금/강력한 비밀번호/생체인증을 적용하고, 비밀번호를 메모·키체인에 과도하게 의존하지 않도록 관리 체계 재점검

📘 용어정리

- 익스플로잇 키트(Exploit Kit): 여러 취약점을 묶어 자동으로 공격을 실행하도록 만든 도구 모음

- WebKit: iOS의 Safari 등에서 쓰이는 브라우저 엔진 계열로, 취약점 악용 시 웹페이지 방문만으로도 초기 침투가 가능해질 수 있음

- 샌드박스 탈출(Sandbox Escape): 앱/브라우저에 주어진 제한 구역을 벗어나 시스템 자원에 더 깊이 접근하는 단계

- 로컬 권한 상승(LPE): 기기 내부에서 더 높은 권한을 획득해 파일 시스템/민감 정보 접근 범위를 넓히는 취약점 악용

- 시드 구문(BIP39)/니모닉: 지갑 복구용 12~24개 단어로, 유출 시 지갑 통제권이 사실상 넘어감

- 개인키(Private Key): 자산 이동을 승인하는 ‘서명 키’로, 유출 즉시 자산 탈취로 직결

- 드레이너(Drainer): 탈취한 키/권한으로 지갑의 자산을 자동으로 빼내 비우는 공격 방식

- 자가 수탁(Self-custody): 거래소가 아닌 이용자 본인이 키를 보관·관리하는 형태(보안 책임도 이용자에게 귀속)

💡 자주 묻는 질문 (FAQ)

Q.

Coruna 익스플로잇 키트는 무엇이고, 왜 위험한가요?

Coruna는 iOS 취약점 23개를 묶어 ‘웹사이트 방문(1클릭)’만으로 기기 침투를 시도하는 공격 도구입니다. 핵심 위험은 광고 팝업 같은 수준이 아니라, 노트/사진(지갑 QR)·지갑 데이터에서 시드 구문(BIP39)과 개인키를 찾아 탈취해 드레이너 방식으로 자산을 즉시 빼낼 수 있다는 점입니다.

Q.

아이폰을 쓰면 안전하다는 말이 왜 더 이상 통하지 않나요?

과거엔 다단계 익스플로잇 체인이 국가급 표적 감시에 주로 쓰였지만, Coruna는 이런 고급 공격이 ‘대중형 범죄 도구’로 유통되는 흐름을 보여줍니다. 즉, 고가 표적 전용 기술이 리테일(일반 사용자) 절도로 전환되는 ‘상용화’가 진행돼, 모바일 자가 수탁 이용자도 현실적인 공격 대상이 됩니다.

Q.

초보자가 지금 당장 할 수 있는 최소 보안 조치는 무엇인가요?

1) iOS를 최신 버전으로 업데이트해 패치를 적용하고, 2) 노트/사진/파일에 시드 구문·개인키·지갑 QR 캡처가 남아있다면 즉시 삭제하며, 3) 장기 보관 자산은 콜드월렛으로 옮기고 모바일 지갑은 소액만 운용하는 것이 기본입니다. 또한 도박/에어드롭 클레임 등 의심 사이트 접속과 링크 클릭을 줄이는 것이 ‘1클릭’ 공격을 피하는 데 중요합니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.