[AI리포터]

러시아 해커들이 아이폰 사파리 제로데이를 악용한 다크소드로 우크라이나 사용자를 공격했다. [사진: 셔터스톡]

<이미지를 클릭하시면 크게 보실 수 있습니다>

[디지털투데이 AI리포터] 러시아 정부와 연계된 것으로 의심되는 해커들이 우크라이나 아이폰 사용자를 겨냥해 새로운 해킹 도구를 사용한 정황이 포착됐다. 이들은 개인정보뿐 아니라 암호화폐까지 노리고 사이버 공격을 벌인 것으로 나타났다.

18일(현지시간) IT 매체 테크크런치에 따르면 구글과 보안업체 룩아웃(Lookout), 아이베리파이(iVerify) 연구진이 우크라이나를 겨냥한 해킹 캠페인을 분석한 결과 '다크소드'(Darksword)라는 해킹 툴킷이 사용된 사실이 확인됐다. 다크소드는 비밀번호, 사진, 메시지, 브라우저 기록 등을 수집하며, 감염 후 짧은 시간 내 정보를 탈취한 뒤 흔적을 최소화하는 방식으로 작동한다. 이는 구글이 지난 3월 공개한 아이폰 해킹 툴킷 '코루나'(Coruna)와 연관된 것으로 분석된다.

다크소드는 애플 사파리 브라우저를 주요 공격 경로로 삼는다. 감염된 웹사이트에 삽입된 악성 HTML이 자바스크립트를 내려받아 실행한 뒤, 추가 페이로드를 설치하는 구조다. 이 과정에서 두 가지 제로데이 취약점이 악용된다. 첫 번째는 자바스크립트코어(JavaScriptCore)의 메모리 손상 취약점으로, 공격자가 악성 코드를 주입할 수 있게 한다. 두 번째는 포인터 인증 코드(PAC) 우회 취약점으로, 기기 내부 보안 장치를 무력화한다.

이번 공격은 파일리스(fileless) 멀웨어와 유사하게 기존 시스템 기능을 악용해 탐지를 어렵게 만든다. 다크소드는 아이메시지, 왓츠앱, 애플 헬스, 암호화폐 지갑 등에서 데이터를 수집한 뒤, 타원곡선 디피-헬만(ECDH)과 AES 암호화를 통해 해커 서버로 전송한다. 시큐리티스코어카드(SecurityScorecard)의 스티브 콥(Steve Cobb) 정보보호 최고책임자(CISO)는 "모바일 기기가 데이터 유출의 주요 경로로 부상하고 있다"라고 경고했다.

공격은 특정 우크라이나 웹사이트 방문자를 대상으로 이뤄졌으며, 감염과 정보 탈취가 수분 내 완료되도록 설계됐다. 보안업계는 다크소드가 코루나 개발자와 연관됐을 가능성이 크다고 보고 있으며, 러시아의 사이버 공격 역량이 한층 고도화되고 있음을 보여준다고 평가한다.

애플은 해당 취약점에 대한 보안 패치를 배포하고 사용자들에게 최신 iOS 업데이트 적용을 권고했다. 또한 락다운 모드 활성화가 공격 완화에 도움이 된다고 안내했다. 한편 구글이 발견한 또 다른 iOS 익스플로잇 '코루나' 역시 현재는 패치가 완료된 상태다.

<저작권자 Copyright ⓒ 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지>