6개 취약점 연쇄 악용해 수백만 아이폰 위협

보안 연구진이 감염된 웹사이트 방문만으로 아이폰을 완전히 장악하고 민감 정보를 탈취한 뒤 수분 내 흔적을 지우는 정교한 iOS 익스플로잇 체인 '다크소드(DarkSword)'를 공개했다. Lookout Threat Labs, Google Threat Intelligence Group, iVerify가 공동으로 발견한 이 공격 기법은 iOS 18.4~18.6.2 버전을 실행하는 기기를 표적으로 삼아 6개의 제로데이 취약점을 연쇄적으로 악용한다.

다크소드는 사용자가 감염된 웹페이지를 방문하는 순간 WebKit 엔진의 취약점을 통해 초기 침투를 시작하며, 이후 권한 상승과 샌드박스 탈출 과정을 거쳐 기기에 대한 완전한 제어권을 확보한다. 공격이 성공하면 Coinbase와 Binance 같은 암호화폐 거래소 앱의 자격 증명, 암호화폐 지갑 정보, 메시지, 사진 등 광범위한 개인 데이터가 외부 서버로 전송된다.

러시아 위협 행위자 UNC6353 연관 정황

Google이 추적 중인 러시아 연계 위협 그룹 UNC6353과의 연관성이 강하게 의심되고 있다. 이 조직은 2025년 11월부터 활동 흔적이 포착됐으며, 올해 초 발견된 '코로나(Coruna)' 익스플로잇 체인 역시 같은 그룹의 소행으로 분석된다. 두 공격 모두 우크라이나 사용자를 주요 표적으로 삼았다는 공통점이 있다.

다크소드의 가장 큰 특징은 '히트 앤 런(hit-and-run)' 방식이다. 공격자는 필요한 데이터를 신속히 탈취한 후 멀웨어 페이로드와 로그 파일을 자동으로 삭제해 포렌식 분석을 극도로 어렵게 만든다. 전체 공격 과정이 수분 내에 완료되며, 피해자는 침해 사실조차 인지하지 못하는 경우가 대부분이다.

Apple, 최신 업데이트로 취약점 전면 패치

Apple은 다크소드가 악용한 모든 취약점을 최신 iOS 릴리스에서 패치했다. iOS 18.7 이상으로 업데이트한 사용자는 이 공격으로부터 안전하다. 그러나 전 세계 수백만 대의 아이폰이 여전히 취약한 버전을 실행 중인 것으로 추정되며, 보안 전문가들은 즉각적인 업데이트를 강력히 권고하고 있다.

이번 발견은 모바일 보안 위협의 복잡성이 급격히 증가하고 있음을 보여준다. Lookout Threat Labs는 "모바일 기기가 이제 기업 접근 권한, 신원 정보, 민감 데이터의 교차점에 위치하면서 사실상 기업 보안 경계선이 직원 개개인의 주머니로 이동했다"며 "전통적인 앱 기반 멀웨어를 넘어 정교한 히트 앤 런 캠페인으로 진화하고 있다"고 분석했다.

[AI 분석] 모바일 공격 벡터 확장과 방어 전략의 패러다임 전환

다크소드 사례는 모바일 보안 위협이 단순한 앱 다운로드나 피싱 링크 클릭을 넘어 정상적인 웹 브라우징만으로도 완전한 기기 장악이 가능한 단계로 진화했음을 시사한다. 특히 암호화폐 자산을 겨냥한 점은 금전적 동기를 가진 공격자들이 모바일 플랫폼을 고수익 표적으로 인식하고 있음을 보여준다.

국가 지원 위협 그룹의 모바일 익스플로잇 활용이 증가할 가능성이 높다. UNC6353의 우크라이나 표적화는 지정학적 갈등 상황에서 모바일 기기가 정보 수집과 심리전의 주요 도구로 활용되고 있음을 암시한다. 향후 유사한 공격 기법이 다른 지역과 분쟁 상황에서도 확산될 수 있다.

기업 보안 전략의 근본적 재설계가 필요하다. 전통적인 네트워크 경계 기반 방어는 직원 개인 기기를 통한 데이터 접근이 일상화된 환경에서 한계를 드러낸다. AI 기반 실시간 행위 분석, 제로 트러스트 아키텍처, 모바일 엔드포인트 탐지 및 대응(EDR) 솔루션의 통합적 도입이 시급하다.

Apple의 신속한 패치에도 불구하고 업데이트 지연 문제는 여전히 수백만 사용자를 위험에 노출시킨다. 기업은 관리 기기에 대한 강제 업데이트 정책과 개인 소유 기기(BYOD)에 대한 보안 기준 강화를 동시에 추진해야 한다. 또한 중요 자산에 대한 접근 시 생체 인증 외에 하드웨어 보안 키 등 다중 인증 수단을 의무화하는 방안도 검토할 필요가 있다.