미 군사 계약업체 L3해리스(L3Harris)의 해킹 부문 트렌천트(Trenchant)가 개발한 아이폰 해킹 툴킷 ‘코루나(Coruna)’가 내부자 유출을 통해 러시아 정보기관과 중국 사이버범죄 조직의 손에 넘어간 것으로 확인됐다. 구글 위협 인텔리전스 그룹과 모바일 보안 기업 아이베리파이(iVerify)가 공동으로 이 사실을 밝혀냈으며, 해당 도구는 우크라이나 아이폰 사용자를 겨냥한 감시 작전에 실제로 투입된 것으로 드러났다.
23개 모듈로 구성된 군사급 해킹 도구
구글과 아이베리파이는 2026년 3월 3일 공동 보고서를 통해 아이폰 해킹 툴킷 ‘코루나’의 존재를 공개했다. 코루나는 23개의 서로 다른 해킹 모듈로 구성된 전문 익스플로잇 도구로, iOS 13부터 17.2.1까지 20개 이상의 취약점을 공략할 수 있다. 악성 웹 콘텐츠를 통해 원격으로 애플 기기를 침해하고, 대상을 식별(핑거프린팅)하며, iOS의 보안 체계를 우회하는 기능을 갖추고 있다. 이 도구의 원 개발사는 미국 방산업체 L3해리스 테크놀로지스(L3Harris Technologies) 산하의 해킹·감시 전문 부문인 트렌천트다. 트렌천트는 미국 정부와 파이브 아이즈(Five Eyes) 동맹국, 즉 호주·캐나다·뉴질랜드·영국에만 독점적으로 감시 도구를 판매해왔다.
아이베리파이의 공동 창업자 로키 콜(Rocky Cole)은 “우리는 국가 기관이 개발했을 가능성이 매우 높은 도구를 발견했다. 미국 정부를 위해, 또는 미국 정부에 의해 만들어진 것이 거의 확실한 이 도구가 전 세계 제로데이 브로커를 거치며 기이한 여정을 겪었다”고 밝혔다.
내부자 배신: 130만 달러에 팔린 8개 익스플로잇
코루나가 외부로 유출된 경로는 내부자의 배신이었다. 트렌천트의 전 총괄 매니저 피터 윌리엄스(Peter Williams, 39세, 호주 국적)는 2022년부터 2025년까지 회사의 핵심 해킹 도구 8개를 러시아 익스플로잇 브로커 ‘오퍼레이션 제로(Operation Zero)’에 130만 달러(약 18억 8,500만 원)에 판매한 혐의로 2025년 10월 유죄를 인정했다. 윌리엄스는 2026년 2월 징역 7년을 선고받았다.
| 항목 | 내용 |
|---|---|
| 툴킷 명칭 | 코루나(Coruna) |
| 구성 모듈 | 23개 |
| 표적 범위 | iOS 13 ~ 17.2.1 (20개 이상 취약점) |
| 개발사 | 트렌천트(Trenchant, L3해리스 산하) |
| 유출자 | 피터 윌리엄스(전 총괄 매니저) |
| 유출 대가 | 130만 달러(약 18억 8,500만 원) |
| 유출 기간 | 2022~2025년 |
| 구매자 | 오퍼레이션 제로(러시아 브로커) |
| 판결 | 징역 7년 (2026년 2월) |
미 재무부는 2026년 2월 오퍼레이션 제로를 제재 대상으로 지정하며, 이 브로커가 윌리엄스에게서 구매한 도구를 비인가 사용자에게 재판매했다고 밝혔다. 이것이 러시아 정보기관이 코루나를 확보한 경로로 추정된다.
우크라이나 겨냥한 워터링홀 공격
구글이 ‘UNC6353’으로 명명한 러시아 국가 지원 해킹 그룹은 코루나를 확보한 뒤 우크라이나 웹사이트를 해킹하는 ‘워터링홀(watering-hole)’ 방식으로 공격을 전개했다. 특정 우크라이나 아이폰 사용자를 지리적 위치 기반으로 선별해 타겟팅하는 정교한 감시 작전이었다. 이 공격은 2025년 2월부터 감지되기 시작했으며, 제한된 수의 우크라이나 사용자를 대상으로 고도로 표적화된 형태로 진행됐다.
이후 같은 도구가 중국 사이버범죄 조직으로까지 확산됐다. 중국 해커들은 코루나를 금전·암호화폐 탈취 목적의 대규모 캠페인에 활용했다. 서방 정보기관 전용으로 개발된 군사급 해킹 도구가 적국의 스파이 활동은 물론 일반 사이버범죄에까지 전용된 셈이다.
2023년 ‘오퍼레이션 트라이앵귤레이션’과의 연결
이번 발견은 2023년 러시아 보안업체 카스퍼스키(Kaspersky)가 공개해 주목받았던 ‘오퍼레이션 트라이앵귤레이션(Operation Triangulation)’과도 직접 연결된다. 당시 카스퍼스키는 4개의 제로데이 취약점을 연쇄적으로 활용한 전례 없는 수준의 아이폰 해킹 캠페인을 발견했고, 러시아 당국은 이를 미 국가안보국(NSA)의 소행이라고 주장했다.
구글의 분석에 따르면 코루나 내부의 두 핵심 익스플로잇이 오퍼레이션 트라이앵귤레이션에 재사용된 것으로 확인됐다. ‘포톤(Photon, CVE-2023-32434)’은 iOS 14.5~15.7.6의 메모리 매핑 정수 오버플로 취약점을, ‘갈리움(Gallium, CVE-2023-38606)’은 iOS 14.x~16.6의 애플 페이지 보호 레이어(Page Protection Layer)를 우회하는 하드웨어 수준 취약점을 공략한다.
트렌천트 전 직원은 “2023년 트라이앵귤레이션이 처음 공개됐을 때, 카스퍼스키가 포착한 제로데이 중 적어도 하나는 ‘우리 것’이었고, 코루나 프로젝트에서 ‘뜯겨 나간(ripped out)’ 것일 수 있다고 사내에서 판단했다”고 증언했다. 카스퍼스키가 당시 발표에 사용한 로고(삼각형으로 구성된 사과 형상)가 L3해리스의 로고와 유사하다는 점도 의도적 암시였을 가능성이 제기된다.
서방 사이버 무기 확산, 통제 불능의 경고등
이번 사건은 서방 정보기관이 개발한 사이버 무기의 확산 통제가 사실상 불가능하다는 점을 여실히 보여준다. 미국 정부 전용으로 개발된 23개 모듈의 군사급 해킹 도구가 단 한 명의 내부자에 의해 130만 달러라는 비교적 소액에 적국으로 넘어갔고, 이후 러시아 스파이의 우크라이나 감시, 중국 범죄 조직의 금전 탈취에까지 악용됐다. 한국 역시 파이브 아이즈와 긴밀한 사이버 보안 협력 관계에 있어 이번 유출 사태의 파장에서 자유롭지 않다. 정부 전용 익스플로잇의 공급망 보안 강화와 내부자 위협 관리가 시급한 과제로 떠오르고 있으며, iOS 17.2.1 이전 버전을 사용하는 아이폰 이용자는 즉각적인 소프트웨어 업데이트가 필요하다.
© 2026 TechMore. All rights reserved. 무단 전재 및 재배포 금지.
기사 제보
제보하실 내용이 있으시면 techmore.main@gmail.com으로 연락주세요.
