카스퍼스키가 아이폰 해킹 도구 '코루나(Coruna)'의 익스플로잇에 대한 코드 수준 분석을 완료하고 해당 킷이 사이버 스파이 캠페인 'Operation Triangulation'에서 사용된 프레임워크의 직접적인 업데이트 버전임을 확인했다고 밝혔다. 카스퍼스키 글로벌 연구분석팀(GReAT)은 두 위협의 커널 익스플로잇이 동일한 제작자에 의해 만들어졌다는 결론을 내렸다.
분석에 따르면, 코루나의 커널 익스플로잇 다섯 개 중 하나는 카스퍼스키가 2023년 Operation Triangulation에서 발견한 것과 동일한 익스플로잇의 업데이트 버전으로 확인됐다. 나머지 네 개는 Operation Triangulation이 공개적으로 알려진 이후 개발된 두 개를 포함해 동일한 익스플로잇 프레임워크를 기반으로 구축된 것으로 나타났다. 코드 유사성은 커널 익스플로잇을 넘어 코루나의 다른 구성 요소에까지 이어져 카스퍼스키는 이 킷이 서로 다른 부분을 조합한 것이 아닌 원래 프레임워크에서 지속적으로 유지·발전해온 결과물이라고 판단했다.
코드에는 애플의 A17과 M3 계열 프로세서에 대한 지원이 포함되어 있으며 iOS 버전 17.2까지의 참조 코드와 함께 카스퍼스키가 보고한 취약점을 패치하기 위해 애플이 배포한 iOS 16.5 베타 4에 대한 특정 확인 코드도 담겨 있다.
카스퍼스키 GReAT의 보리스 라린 수석 보안 연구원은 "코루나가 처음 보고되었을 때 공개된 증거만으로는 해당 코드를 Operation Triangulation과 연결하기에 충분하지 않았다"며 "실제 바이너리를 분석한 지금은 상황이 다르다. 코루나는 공개된 익스플로잇을 짜깁기한 것이 아니라 Operation Triangulation 원본 프레임워크가 지속적으로 유지·발전한 결과물이다. 정밀한 스파이 도구로 시작된 것이 이제는 무차별적으로 배포되고 있다"고 밝혔다.
이효은 카스퍼스키 한국지사장은 "역동적인 한국의 사이버보안 환경을 고려할 때 코루나와 Operation Triangulation 같은 위협의 진화는 지속적인 경계의 필요성을 더욱 부각시킨다"며 "한국 기업과 기관들이 사이버 공격자보다 앞서 나갈 수 있도록 고급 보안 솔루션을 활용한 선제적 대응 조치를 채택할 것을 권고한다"고 말했다.
카스퍼스키는 코루나가 악용한 취약점들이 애플에 의해 패치되었으나 업데이트가 적용되지 않은 기기는 여전히 위험에 노출되어 있다며 모든 아이폰 사용자에게 즉시 최신 iOS 업데이트를 설치할 것을 권장했다. 아울러 기업과 기관을 대상으로 보안 이벤트 모니터링 중앙화와 운영 체제 및 보안 소프트웨어 정기 업데이트 그리고 위협 인텔리전스 활용과 사이버보안 팀 역량 강화 등의 조치를 권고했다.
한편, Operation Triangulation은 iOS 기기를 표적으로 하는 APT 캠페인으로 2023년 6월 처음 공개됐다. 카스퍼스키는 자사 기업 Wi-Fi 네트워크 트래픽을 모니터링하는 과정에서 이 캠페인을 발견했으며 위협 행위자가 수십 명의 카스퍼스키 직원 iOS 기기를 표적으로 삼고 있었음을 확인했다.
헬로티 구서경 기자 |
