멤버십
뉴스
리서치
마켓정보
라운지
커뮤니티
매체소개
고객센터
2
구글 위협 인텔리전스 그룹(GTIG)이 애플 아이폰(iPhone) 이용자를 노린 신규 iOS 익스플로잇 키트(취약점 공격 도구)를 포착했다. 목표는 암호화폐 지갑의 ‘시드 문구(seed phrase·복구용 문구)’를 훔쳐 지갑을 탈취하는 것이다.
GTIG는 5일(현지시간) 공개한 보고서에서 이 익스플로잇 키트가 개발자들에 의해 ‘코루나(Coruna)’로 불리며, iOS 13.0부터 17.2.1까지 구버전 아이폰을 겨냥한다고 밝혔다. GTIG에 따르면 코루나는 ‘5개의 완전한 iOS 익스플로잇 체인’과 총 23개 익스플로잇으로 구성돼 있으며, 이 중에는 공개된 적 없는(제로데이로 추정되는) 취약점도 포함됐다.
GTIG는 코루나를 2025년 2월 처음 확인한 뒤, 러시아발로 의심되는 첩보 조직이 우크라이나 이용자를 대상으로 활용한 정황을 추적해 왔다고 설명했다. 이후에는 암호화폐 탈취를 노린 ‘가짜 중국계 암호화폐 사이트’에서도 동일한 도구가 쓰인 흔적이 확인됐다는 게 GTIG의 결론이다.
구글은 코루나가 iOS 최신 버전에서는 작동하지 않는다고 덧붙였다. 이에 따라 아이폰 이용자에게 운영체제를 최신 버전으로 업데이트할 것을 권고했다. 업데이트가 어렵다면 애플이 고도화된 표적 공격을 방어하기 위한 기능으로 소개해 온 ‘록다운 모드(Lockdown Mode)’를 활성화하는 방식도 대안으로 제시했다.
가짜 웹사이트로 유입…시드 문구·금융정보 노린다
GTIG는 2025년 2월, 한 감시(surveillance) 업체의 고객이 자바스크립트를 이용해 사용자의 기기를 ‘지문채취(fingerprinting)’한 뒤, 기기 환경에 맞는 익스플로잇을 전달하는 흐름을 일부 포착했다고 밝혔다. 기기 지문채취는 접속 기기의 모델, 브라우저, OS 버전 등 정보를 수집해 공격 성공률을 높이는 방식으로 악용되곤 한다.
이후 2025년 하반기에는 동일한 자바스크립트 프레임워크가 여러 개의 침해된 우크라이나 웹사이트에 숨겨져 있었고, 이 코드는 ‘특정 지리적 위치(geolocation)의 선별된 아이폰 사용자’에게만 전달되도록 설계돼 있었다고 GTIG는 설명했다. 불특정 다수를 무차별 감염시키기보다 표적을 좁혀 탐지 가능성을 낮추는 전형적인 수법이라는 평가가 나온다.
GTIG는 같은 프레임워크가 2025년 12월에는 “대규모의 가짜 중국 웹사이트 세트”에서도 발견됐다고 밝혔다. 이들 사이트는 주로 금융을 주제로 꾸며졌고, 일부는 암호화폐 거래소 위익스(WEEX)를 사칭한 것으로 전해졌다.
사용자가 iOS 기기로 해당 웹사이트에 접속하면, 프레임워크가 코루나 익스플로잇 키트를 내려보내고 금융 정보를 탐색하기 시작한다. GTIG는 특히 공격 코드가 시드 문구가 포함된 텍스트를 분석하거나 ‘backup phrase’, ‘bank account’ 같은 키워드를 찾아내는 방식으로 민감 정보를 수집하려 했다고 밝혔다.
또한 코루나는 유니스왑(Uniswap)과 메타마스크(MetaMask) 등 인기 암호화폐 앱을 찾아 암호화폐나 민감 정보를 빼내려는 기능도 갖춘 것으로 파악됐다.
“미 정부 도구 가능성” vs “코드 재사용 증거 없다”
코루나의 출처를 둘러싼 해석은 엇갈린다. GTIG는 해당 익스플로잇 키트가 어느 감시 업체 고객으로부터 비롯됐는지 구체적으로 밝히지 않았다. 다만 모바일 보안업체 아이베리파이(iVerify)는 WIRED에 “미국 정부가 구축했거나 구매했을 가능성”을 제기했다.
아이베리파이 공동창업자 로키 콜(Rocky Cole)은 “매우 정교하며 개발에 수백만 달러(수백억 원대)가 들었을 수준이고, 과거 공개적으로 미국 정부에 귀속된(other modules) 모듈들의 특징을 갖고 있다”고 주장했다. 그는 “코드가 말해주는 바에 근거하면, ‘미 정부 도구’로 보이는 수단이 통제 불능 상태로 확산돼 적대 세력과 사이버범죄 집단 모두에게 활용되는 첫 사례”라고도 했다.
반면 카스퍼스키(Kaspersky) 측은 보다 신중한 입장이다. 카스퍼스키의 한 수석 보안 연구원은 더 레지스터(The Register)에 “공개된 보고서만으로는 코루나를 동일한 작성자에게 귀속(attribution)할 만큼의 ‘실제 코드 재사용’ 증거를 보지 못했다”고 말했다.
iOS 익스플로잇 키트와 시드 문구 탈취가 결합된 이번 사례는, 스마트폰 보안 업데이트 지연이 곧바로 자산 위험으로 이어질 수 있음을 보여준다. 업계에서는 거래소·지갑 앱 보안뿐 아니라, 이용자 단말의 OS 최신화와 ‘록다운 모드’ 같은 방어 기능 활용이 암호화폐 보안의 기본 전제가 되고 있다고 보고 있다.
🔎 시장 해석
- 구글 GTIG가 아이폰 사용자를 노린 신규 iOS 익스플로잇 키트 ‘코루나(Coruna)’를 포착했으며, 핵심 목표는 암호화폐 지갑의 시드 문구 탈취를 통한 자산 탈취
- iOS 13.0~17.2.1 구버전이 표적이어서 ‘OS 업데이트 지연’이 곧바로 개인 자산 리스크로 전이되는 구조가 재확인
- 첩보(표적 공격) 목적의 고급 공격 체계가 가짜 금융·거래소 사이트(WEEX 사칭 등)와 결합되며 사이버범죄로 확산되는 혼합형 위협 양상
💡 전략 포인트
- 1순위 대응: iOS를 최신 버전으로 업데이트(구글은 최신 iOS에서 코루나가 작동하지 않는다고 명시)
- 업데이트가 어렵다면: 애플 ‘록다운 모드(Lockdown Mode)’ 활성화로 고도화 표적 공격면 축소
- 행동 수칙: 금융/암호화폐 링크는 ‘접속 전 도메인 확인’(사칭 거래소·가짜 중국계 금융 사이트 다수) + 의심 사이트 접속 자체를 최소화
- 보안 관점의 자산관리: 시드 문구 텍스트 보관(메모/파일/클립보드 등) 자체가 탐색 대상이 될 수 있으므로 오프라인 보관(종이/금고 등) 원칙을 재점검
📘 용어정리
- 익스플로잇 키트: 여러 취약점을 자동으로 묶어(체인) 기기 감염/권한 획득을 시도하는 공격 도구
- 익스플로잇 체인: 단일 취약점이 아니라 여러 취약점을 단계적으로 연결해 최종 목표(기기 장악)를 달성하는 방식
- 제로데이: 공개/패치 전이거나 널리 알려지지 않은 취약점(공격자가 먼저 악용 가능)
- 지문채취(Fingerprinting): 기기 모델·브라우저·OS 등 환경 정보를 수집해 맞춤형 공격을 보내는 기법
- 시드 문구(Seed phrase): 지갑 복구용 단어 조합으로, 유출 시 지갑 소유권이 사실상 탈취될 수 있는 핵심 정보
- 록다운 모드: 메시지/웹 기능 등을 제한해 고급 표적 공격을 방어하도록 설계된 iOS 보안 강화 모드
💡 자주 묻는 질문 (FAQ)
Q.
‘코루나(Coruna)’는 무엇이고, 어떤 아이폰이 위험한가요?
코루나는 구글 위협 인텔리전스 그룹(GTIG)이 포착한 iOS 익스플로잇 키트(취약점 공격 도구)로, iOS 13.0부터 17.2.1까지 구버전 아이폰을 겨냥합니다. 여러 취약점을 ‘체인’으로 연결해 기기를 장악하는 방식이며, 총 23개 익스플로잇과 5개의 완전한 체인을 포함한 것으로 보고됐습니다.
Q.
가짜 사이트에 접속만 해도 지갑이 털릴 수 있나요?
보고서에 따르면 공격자는 가짜 금융/거래소 사이트(예: 중국계 금융 사이트, WEEX 사칭 등)로 유도한 뒤, 자바스크립트로 기기 정보를 지문채취해 맞는 익스플로잇을 전달하는 방식으로 공격을 시도했습니다. 이후 시드 문구가 담긴 텍스트나 ‘backup phrase’, ‘bank account’ 같은 키워드를 탐색하고, MetaMask·Uniswap 등 인기 앱을 찾아 민감정보/자산 탈취를 노린 정황이 제시됐습니다.
Q.
가장 현실적인 대응 방법 2가지는 무엇인가요?
첫째, iOS를 최신 버전으로 업데이트하는 것입니다(구글은 최신 iOS에서 코루나가 작동하지 않는다고 밝혔습니다). 둘째, 업데이트가 어렵다면 애플 ‘록다운 모드(Lockdown Mode)’를 켜서 표적 공격에 노출되는 기능을 제한하는 방식이 대안입니다. 추가로, 암호화폐 관련 링크는 도메인을 재확인하고, 시드 문구를 온라인 텍스트 형태로 보관하지 않는 습관이 중요합니다.
TP AI 유의사항
TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.
![[토큰분석] 토큰 언락, 무조건 공포인가…가격 폭락 여부를 가르는 5가지 기준](https://f1.tokenpost.kr/2026/03/6aw6h53e5v.jpg)
![[마켓분석]](https://f1.tokenpost.kr/2026/03/97kllyalo1.jpg)
![[토큰분석] 스테이블코인, 은행 예금 빼앗고 대출도 막는다…뉴욕연준 첫 실증 분석](https://f1.tokenpost.kr/2026/03/ks37rhj169.jpg)
![[Episode 12] IXO™2024 참여하고, 2억원 상당 에어드랍 받자!](https://f1.tokenpost.kr/2024/03/bk2tc5rpf6.png)
![[Episode 11] 코인이지(CoinEasy) 에어드랍](https://f1.tokenpost.kr/2024/02/g0nu4cmps6.png)
![[Episode 8] Alaya 커뮤니티 입장하고, $AGT 받자!](https://f1.tokenpost.kr/2023/10/0evqvn0brd.png)
![[Episode 6] 아트테크 하고, 에어드랍 받자!](https://f1.tokenpost.kr/2023/08/3b7hm5n6wf.jpg)
![[토큰포스트] 기사 퀴즈 546회차](https://f1.tokenpost.kr/2026/03/p1jfeb06y7.jpg)
![[토큰포스트] 기사 퀴즈 545회차](https://f1.tokenpost.kr/2026/03/yzt2egy26e.jpg)
![[토큰포스트] 기사 퀴즈 544회차](https://f1.tokenpost.kr/2026/03/vljjplabhq.jpg)
![[토큰포스트] 기사 퀴즈 543회차](https://f1.tokenpost.kr/2026/02/u4blgenuev.jpg)
![[토큰분석] 크라켄, 사상 첫 암호화폐 기업으로 연준 결제망 직접 접속 승인](https://f1.tokenpost.kr/2026/03/n6zhzvcz5j.jpg)
![[KOL 인덱스] “업비트·빗썸 대주주 지분 20% 제한” 커뮤니티 촉각… ‘규제 명분’ 논쟁·역프 0%권·고래 숏 증가 화제 外](https://f1.tokenpost.kr/2026/03/7s0iti2y7q.jpg)
![[토큰분석] 비트코인, $73,000 돌파…](https://f1.tokenpost.kr/2026/03/zstq1hbuj2.jpg)
