아이폰 크립토 지갑 노린 ‘다크소드’ 취약점…사파리 접속만으로 침투 우려

구글 “아이폰 크립토 지갑 겨냥한 ‘다크소드’ 취약점 확인”

구글이 아이폰(iPhone)에서 ‘크립토 지갑’을 노리는 신규 취약점 악용 사례를 공개했다. 사파리(Safari)로 ‘오염된 웹사이트’에 접속하는 것만으로도 공격이 시작될 수 있어 보안 업데이트가 느린 이용자들을 중심으로 피해 확산 우려가 커지고 있다.

구글에 따르면 이번 익스플로잇은 ‘다크소드(DarkSword)’로 불리며, 여러 개의 ‘제로데이(0-day) 취약점’을 연쇄적으로 묶어 기기를 조용히 장악하는 방식이다. 공격 대상은 iOS 18.4~18.7을 구동하는 아이폰으로, 구글은 이 구간의 업데이트가 지난해 4~9월 배포된 점을 짚었다.

iOS 18 잔존 24%…최대 2억7000만대 영향 가능성

현재 최신 애플 기기는 iOS 26.3.1을 사용하지만, 자동 업데이트를 켜지 않은 이용자가 적지 않다. 애플 자체 통계 기준으로 전체 아이폰의 24%가 여전히 iOS 18을 사용하고 있어, 단순 추산으로 최대 약 2억7000만대가 영향권에 들어갈 수 있다는 게 구글의 설명이다.

다크소드는 6개 취약점을 결합해 ‘커널 수준’ 접근 권한을 확보한 뒤, iOS 시스템 프로세스에 자바스크립트(JavaScript)를 주입해 정보를 탈취한다. 단순한 키로거(키 입력 가로채기)나 클립보드 스니퍼가 아니라 운영체제 깊숙이 파고드는 형태라는 점에서, ‘크립토 지갑’ 보유자들의 경각심이 요구된다.

메타마스크·팬텀 등 지갑 데이터와 키체인까지 노린다

구글은 다크소드가 메타마스크(MetaMask), 팬텀(Phantom) 등 지갑 앱을 포함해 코인베이스, 레저 등 다수 서비스와 연관된 지갑 데이터를 탐색하도록 설계됐다고 밝혔다. 내부적으로 “metamask”, “ledger”, “trezor”, “phantom”, “coinbase”, “binance”, “kraken” 같은 문자열과 일치하는 앱·파일을 스캔해 지갑 정보를 수집하는 방식이다.

특히 애플의 시스템 저장소인 ‘키체인(Keychain)’ 데이터베이스를 덤프(추출)해 비밀번호 등 자격 증명을 가져갈 수 있다는 점이 핵심 위험으로 꼽힌다. 와이파이 비밀번호, 아이클라우드(iCloud) 데이터, 사파리 쿠키, 아이메시지(iMessage), 왓츠앱(WhatsApp) 기록, 통화·위치 기록, 사진, 그리고 저장된 자격 증명을 보호하는 암호화 키(키백·keybags)까지 접근할 수 있다고 구글은 설명했다.

러시아 연계 해커 등 악용 관측…패치 적용이 ‘최우선’

구글 위협 인텔리전스 그룹(TIG)은 다크소드가 최소 2025년 11월 이후 실제 공격에 사용된 정황을 관측했다고 밝혔다. 러시아 국가 연계 해커로 추정되는 조직, 터키의 감시 솔루션 업체, 또 다른 위협 클러스터가 사우디아라비아·터키·말레이시아·우크라이나의 표적을 상대로 이를 활용한 사례가 포착됐다.

다만 6개 취약점은 운영체제를 최신으로 올리면 패치가 적용되는 것으로 전해졌다. 애플은 상당수를 iOS 18.7.2와 18.7.3에서 처리했지만, 이미 지갑 데이터나 비밀번호가 유출됐다면 추가 조치가 필요하다. 보안 업계는 iOS 업데이트를 우선 적용하고, 크립토 지갑 이용자는 시드 구문과 비밀번호 재설정, 연결된 기기·세션 점검 등 ‘재보안’ 절차를 병행해야 한다는 관측을 내놓고 있다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.