아이폰 해킹 '코루나(Coruna)'가 아이폰 감청 'Operation Triangulation’의 진화 버전

모바일

아이폰 해킹 '코루나(Coruna)'가 아이폰 감청 'Operation Triangulation’의 진화 버전

대장 쪽지 2026-04-20 10:27

카스퍼스키는 아이폰 해킹 도구인 '코루나(Coruna)'의 익스플로잇에 대한 코드 수준 분석을 수행한 결과, 해당 킷이 사이버 스파이 캠페인인 ‘Operation Triangulation’에서 적어도 부분적으로 사용된 프레임워크의 직접적인 업데이트 버전임을 확인했다고 밝혔다. 또한, Operation Triangulation 과 Coruna 양쪽의 커널 익스플로잇이 동일한 제작자에 의해 만들어졌다고 확인했다.

‘Operation Triangulation’은 iOS 기기를 표적으로 하는 APT 캠페인으로, 2023년 6월에 처음 공개되었다. 카스퍼스키는 자사 기업 Wi-Fi 네트워크의 트래픽을 모니터링하는 과정에서 해당 캠페인을 발견했으며, 위협 행위자는 수십 명의 카스퍼스키 직원의 iOS 기기를 표적으로 삼고 있었다. 카스퍼스키 연구원들은 다양한 애플 제품에 영향을 미치는 제로데이 취약점 네 개가 이 캠페인에서 악용된 것을 확인했다.

분석 결과, 해당 킷의 커널 익스플로잇 다섯 개 중 하나가 카스퍼스키가 2023년 Operation Triangulation에서 발견한 것과 동일한 익스플로잇의 업데이트 버전인 것으로 밝혀졌다. 나머지 네 개는 Operation Triangulation 이 공개적으로 알려진 이후 개발된 두 개를 포함하여, 동일한 익스플로잇 프레임워크를 기반으로 구축되었다. 코드 유사성은 커널 익스플로잇을 넘어 Coruna의 다른 구성 요소에까지 확장되어 있어, 카스퍼스키는 해당 킷이 서로 다른 부분들을 조합한 것이 아니라, 원래 프레임워크에서 지속적으로 유지·발전해온 결과물이라는 결론을 내렸다.

코드에는 애플의 A17, M3, M3 Pro 및 M3 Max 프로세서에 대한 지원이 포함되어 있으며, 2023년 가을과 겨울에 출시된 iOS 버전 17.2까지의 참조 코드도 포함되어 있다. 또한 카스퍼스키가 보고한 취약점을 패치하기 위해 애플이 배포한 iOS 16.5 베타 4(beta 4)에 대한 특정 확인 코드도 포함되어 있다.

카스퍼스키 보리스 라린 GReAT 수석 보안 연구원은 "코루나가 처음 보고되었을 때, 공개된 증거만으로는 해당 코드를 Operation Triangulation 과 연결하기에 충분하지 않았다. 공유된 취약점만으로는 동일한 제작자임을 증명할 수 없기 때문이다. 하지만, 실제 바이너리를 분석한 지금은 상황이 다르다. Coruna는 공개된 익스플로잇을 짜깁기한 것이 아니라, Operation Triangulation 원본 프레임워크가 지속적으로 유지·발전한 결과물이다. M3와 같은 최신 프로세서와 신규 iOS 빌드에 대한 확인 코드가 포함되어 있다는 점은 원래 개발자들이 이 코드베이스를 적극적으로 확장해왔음을 보여준다. 정밀한 스파이 도구로 시작된 것이 이제는 무차별적으로 배포되고 있다"라고 말했다.

카스퍼스키는 모든 아이폰 사용자에게 즉시 최신 iOS 업데이트를 설치할 것을 권장했다. Coruna가 악용한 취약점들은 애플에 의해 패치되었지만, 패치가 적용되지 않은 기기는 여전히 위험에 노출되어 있다.

TAG