러시아의 대규모 아이폰 공격 도구의 출처로 의심되는 미군 계약업체

우크라이나와 중국의 아이폰 사용자를 대상으로 한 대규모 해킹 작전에 사용된 공격 도구가 미국 군수업체 L3해리스(L3Harris)의 내부 프로젝트에서 나온 것일 가능성이 있는 것으로 드러났다. 이 도구는 원래 서방 정보 기관을 위해 맞춤화되었지만 결국 러시아 정보 기관과 중국 사이버 범죄 그룹의 손에 넘어갔고, 군산 사이버 무기 유출 위험에 대한 우려가 높아졌습니다.

지난주 구글은 2025년 여러 차례의 글로벌 공격에 사용된 정교한 아이폰 공격 툴킷을 발견했다고 밝혔습니다. 원래 개발자가 '코루나(Coruna)'라고 명명한 이 툴킷은 23개의 서로 다른 구성 요소로 구성되어 있으며, 처음에는 익명의 정부 고객이 '고도의 표적 작전'을 수행한 후 러시아 정부의 지원을 받는 스파이가 소수의 우크라이나 표적을 대상으로 사용했고, 결국에는 중국 사이버 범죄자가 자금과 암호화폐를 훔치는 대규모 작전을 펼쳤습니다. 모바일 보안 회사인 iVerify의 독립적인 분석에 따르면 이 도구는 원래 미국 정부에 제품을 판매하는 회사에서 개발했을 가능성이 높습니다.

L3Harris의 해킹 및 감시 기술 부문인 Trenchant에서 근무했던 두 명의 전직 직원은 Coruna의 적어도 일부 구성 요소가 Trenchant에서 개발되었으며 둘 다 회사에서 개발한 iPhone 공격 도구와 직접 접촉했다고 언론에 확인했습니다. 익명을 요구한 두 사람은 "코루나는 실제로 내부 구성요소의 코드명"이라며 구글이 공개한 기술적 내용은 "매우 친숙하다"고 말했다. 전직 직원 중 한 명은 Coruna가 Trenchant의 전체 툴킷에 포함된 여러 구성 요소 및 익스플로잇 중 하나라고 말했습니다.

공개 정보에 따르면 L3Harris는 Trenchant를 통해 미국 정부와 "Five Eyes" 동맹국에 해킹 및 감시 도구를 판매하고 있으며 고객은 미국, 영국, 캐나다, 호주 및 뉴질랜드의 정보 기관으로 제한되어 있습니다. 고객이 매우 제한적이라는 전제하에 코루나는 한 국가의 정보기관이 먼저 구매해 사용한 뒤 어떤 방식으로든 유출돼 다른 행위자의 손에 들어갔을 가능성이 가장 높은 것으로 여겨진다. 노출된 Coruna 도구 세트에서 L3Harris Trenchant에서 직접 가져온 코드의 양이 정확히 얼마나 되는지 확실하지 않습니다.

코루나의 초국가적 확산 궤적은 트렌치트 전 단장 피터 윌리엄스가 사이버 무기를 유출한 사례와 매우 유사하다. 공개 기록에 따르면, Williams는 2022년부터 2025년 중반까지 8개의 Trenchant 공격 도구를 러시아 회사인 Operation Zero에 판매하여 약 130만 달러를 벌었습니다. 미국 정부는 그가 "전 세계 수백만 대의 컴퓨터와 장치"를 공격할 수 있는 도구를 훔치기 위해 Trenchant 인트라넷에 대한 "완전한 액세스"를 사용했다고 비난했으며 미국과 동맹국에 대한 "배신"으로 간주되었습니다. 윌리엄스는 지난 2월 징역 7년을 선고받았고, 미국 재무부는 제로 작전을 승인했다.

미국 재무부는 Operation Zero가 러시아 정부 및 국내 기업과만 협력한다고 주장했지만 관계자들은 Williams가 훔친 도구를 적어도 "1명의 승인되지 않은 사용자"에게 판매했다고 판단했습니다. Google의 조사에 따르면 러시아 스파이 조직 UNC6353은 알 수 없는 채널을 통해 Coruna를 획득하고 이를 손상된 우크라이나 웹사이트에 이식하여 iPhone을 사용하여 이러한 웹사이트에 액세스하는 특정 지리적 위치의 사용자를 표적으로 삼았습니다. 일부 분석가들은 Operation Zero가 러시아 관리들에게 도구를 재판매한 후에도 계속해서 다른 브로커, 국가 또는 심지어 사이버 범죄 그룹에 직접 도구를 재판매할 수 있다고 믿습니다. 미국 기소장에는 랜섬웨어 조직인 Trickbot의 구성원이 Operation Zero와 협력하여 금전적 이익을 추구하는 해커 네트워크에 브로커를 연결했다는 점도 언급되어 있습니다.

미국 검찰에 따르면 윌리엄스는 자신이 작성해 오퍼레이션 제로(Operation Zero)에 판매한 코드를 알아냈고, 이 코드는 나중에 한국 중개인의 손에 넘어갔다. 이는 또한 Coruna가 어떻게 중국 해커에게 유입되었는지에 대한 가능한 경로를 제공합니다. 여러 차례의 재판매 및 코드 재사용을 통해 이 도구는 정부 정보 기관에서 더 넓은 해커 생태계로 점차 확산되었습니다.

구글 연구원들은 "Photon"과 "Gallium"이라는 Coruna의 두 가지 특정 익스플로잇 구성 요소가 러시아의 iPhone 사용자를 대상으로 하는 것으로 추정되는 "Operation Triangulation"("Triangle Operation")이라는 정교한 공격 작전에서 제로 데이 취약성 무기로 사용되었다고 지적했습니다. Kaspersky Lab은 Operation Triangle을 2023년에 처음 공개했습니다. iVerify 공동 창립자인 Rocky Cole은 현재 공개 정보를 바탕으로 Coruna의 원래 개발자와 고객이 각각 Trenchant와 미국 정부라는 것이 "가장 합리적인 설명"이지만 이번 판결은 아직 "완전히 결론"이 나지 않았다고 강조했습니다.

Cole의 판단은 세 가지 점에 근거합니다. 첫째, Coruna의 사용 일정은 Williams 유출 사건과 크게 겹칩니다. 둘째, Coruna의 세 가지 주요 모듈인 "Plasma", "Photon" 및 "Gallium"의 구조는 "Operation Triangle"에서 관찰된 모듈과 매우 유사합니다. 셋째, Coruna는 해당 작업에 사용된 일부 공격 코드를 재사용합니다. 그는 또한 "방위계에 가까운 사람들"의 정보에 따르면 "플라즈마" 모듈이 "삼각 작전"에서도 사용되었다고 주장했지만 현재 이를 뒷받침할 공개 증거는 없다고 밝혔습니다. Cole 자신도 한때 NSA(국가안보국)에서 근무했습니다.

Google과 iVerify의 기술 분석에 따르면 Coruna는 2019년 9월부터 2023년 12월까지 출시된 일련의 시스템 버전을 포괄하는 iOS 13부터 iOS 17.2.1을 실행하는 iPhone을 공격하도록 설계되었습니다. 이 기간은 Williams의 유출 도구 타임라인 및 Operation Triangle의 발견과도 일치합니다. 전직 Trenchant 직원은 Kaspersky가 2023년에 "Operation Triangle"을 처음 공개했을 때 회사 내 많은 사람들이 캡처된 제로데이 취약점 중 적어도 하나가 "우리에게서 왔으며" Coruna를 포함하는 전체 프로젝트에서 "제거"되어 사용되었을 수 있다고 믿었다고 회상했습니다.

보안 연구원 Costin Raiu는 또한 소셜 플랫폼에서 Coruna 도구의 많은 구성 요소가 Cassowary, Terrorbird, Bluebird, Jacurutu, Sparrow 등과 같은 새의 이름을 따서 명명되었으며 이는 암묵적으로 Trenchant의 기술 유산과 관련이 있음을 지적했습니다. 워싱턴 포스트는 이르면 2021년 초, 나중에 L3Harris가 인수하여 Trenchant에 합병된 보안 회사인 Azimuth가 유명한 샌버나디노 총격 사건에서 iPhone 잠금을 해제하는 데 사용되었던 Condor라는 iPhone 크래킹 도구를 FBI에 판매했다고 보도했습니다.

'삼각 작전'이 폭로된 후 러시아 연방보안국(FSB)은 미국 국가안보국(NSA)이 이 도구를 사용해 외교관 등을 대상으로 러시아 내 '아이폰 수천 대'를 해킹했다고 비난했다. 카스퍼스키는 당시 FSB의 고발 내용을 자세히 알지 못했다고 밝혔지만, 러시아 국가사이버사고조정센터(NCCCI)가 공개한 '손상 지표'가 카스퍼스키가 앞서 확인한 증거와 일치한다고 지적했다. 그러나 카스퍼스키 보안 연구원 보리스 라린(Boris Larin)은 광범위한 조사에도 불구하고 '오퍼레이션 트라이앵글(Operation Triangle)'이 알려진 APT(Advanced Persistency Threat) 그룹이나 취약점 개발 회사의 소행이라고 볼 수는 없다고 말했습니다.

Larin은 Google이 Coruna를 Operation Triangle과 연관시킨 이유는 둘 다 동일한 취약점인 Photon과 Gallium을 악용했기 때문이라고 설명했습니다. 하지만 이 두 취약점의 세부사항은 오랫동안 공개되어 있었고, 이를 기반으로 어떤 당사자도 자신만의 공격 체인을 개발할 수 있기 때문에 취약점을 공유하는 것만으로는 완전한 귀속이 불가능합니다. 그는 이 두 가지 일반적인 취약점은 “빙산의 일각에 불과하다”고 강조했습니다. Kaspersky가 미국 정부가 Operation Triangle을 배후에 있다고 공개적으로 비난한 적은 없지만, 이 작업을 위해 회사가 디자인한 여러 삼각형으로 구성된 Apple 로고는 L3Harris의 브랜드 로고와 시각적으로 유사합니다. 어떤 사람들은 이것이 Kaspersky에서 일반적으로 사용하는 "시각적 힌트" 기술이라고 생각합니다.

Kaspersky의 과거 관행은 이러한 추측을 확증하는 것으로 보입니다. 2014년에는 '케어토'('마스크'라는 뜻)라는 정부 고위급 해커그룹을 폭로한 바 있다. 공격자들이 스페인어라는 점만 언급됐지만 보고서에 사용된 마스크 일러스트에는 빨간색과 노란색의 스페인 국기와 황소 뿔, 코걸이, 캐스터네츠 등이 추가돼 공격자들이 스페인 정부와 연관되어 있음을 암시하는 것으로 여겨졌다. 이후 보고서에서 Kaspersky 내부자의 말을 인용한 것처럼, 연구팀은 개인적으로 Careto가 스페인 정부가 주도하는 작전이라는 것이 "의심의 여지가 없다"고 믿었습니다.

코루나를 둘러싼 논란은 지속적인 언론 추적을 촉발했습니다. 사이버 보안 기자 패트릭 그레이(Patrick Gray)는 이번 주 팟캐스트 "Risky Business"에서 Williams가 자신이 보유하고 있고 확신하고 있는 "단편적인 정보"를 기반으로 "Operation Triangle"에서 사용된 것과 정확히 동일한 공격 프레임워크인 Operation Zero를 판매했다고 말했습니다. 현재 Apple, Google, Kaspersky 및 Operation Zero는 이 문제에 대해 공개적으로 응답하지 않았습니다.