미국 군수업체가 서방 정보기관을 위해 개발한 것으로 추정되는 아이폰 해킹 도구가 러시아 정부 해커와 중국 사이버 범죄조직의 손에 들어간 것으로 파악됐다.
9일(현지시간) IT 전문매체 테크크런치에 따르면 구글은 2025년 한 해 동안 정교한 아이폰 해킹 툴킷 '코루나'(Coruna)가 전 세계적인 공격에 사용된 사실을 발견했다. 이 툴킷은 본래 서방 정보기관용으로 개발됐으나, 유출을 거쳐 러시아와 중국 해커들이 사용한 것으로 드러났다.
구글은 지난주 이 툴킷이 처음에는 특정 감시업체의 익명 정부 고객에 의해 고도로 표적화된 작전에 사용됐다고 밝혔다. 이후 러시아 정부 소속 해커들이 우크라이나인을 상대로, 중국 사이버 범죄조직이 금전 탈취를 목적으로 광범위하게 사용했다고 설명했다.
툴킷의 개발 배후로는 미국 대형 군수업체 L3해리스(L3Harris)가 지목됐다. L3해리스의 해킹·감시 기술 부문인 트렌천트(Trenchant)에서 근무했던 전 직원 2명은 테크크런치에 '코루나'가 최소한 부분적으로는 자사에서 개발한 것이라고 증언했다. 이들은 익명을 조건으로 "코루나는 확실히 내부에서 사용하던 구성요소 이름"이라며 "구글이 공개한 기술적 세부 정보 중 상당수가 익숙하다"고 말했다.
L3해리스는 트렌천트의 해킹 도구를 미국, 영국, 캐나다, 호주, 뉴질랜드 등 5개국 정보 동맹인 '파이브 아이즈'(Five Eyes)에만 독점 판매한다. 이 때문에 코루나가 본래 이들 국가 정보기관 중 한 곳에서 사용되다 의도치 않게 유출됐을 가능성이 제기된다.
유출 경로로는 내부자 소행이 유력하게 거론된다. 트렌천트의 전직 총괄 매니저였던 호주 국적의 피터 윌리엄스(39)는 2022년부터 2025년 중반까지 회사 해킹 도구 8개를 러시아 회사 '오퍼레이션 제로'(Operation Zero)에 130만달러(약 18억7200만원)를 받고 판매한 혐의로 지난달 징역 7년형을 선고받았다.
오퍼레이션 제로는 러시아 정부 및 현지 기업과 독점적으로 협력한다고 주장하는 회사로, 지난달 미국 정부의 제재 대상에 올랐다. 미국 재무부는 이 회사가 윌리엄스에게서 훔친 도구를 최소 한 명의 승인되지 않은 사용자에게 판매했다고 밝혔다. 이는 구글이 지목한 러시아 첩보 그룹(UNC6353)이 코루나를 입수하게 된 경로를 설명해준다.
이후 오퍼레이션 제로가 러시아 정부 외에 다른 중개인이나 사이버 범죄조직에 툴킷을 재판매했을 가능성도 있다. 미국 재무부는 악명 높은 '트릭봇'(Trickbot) 랜섬웨어 조직원이 오퍼레이션 제로와 협력했다고 밝혀, 이들이 금전적 동기를 가진 해커들과도 연계됐음을 시사했다.
러시아 보안업체 카스퍼스키가 2023년 발견한 해킹 캠페인 '오퍼레이션 트라이앵귤레이션'(Operation Triangulation) 역시 이번 사건과의 연관성을 보여준다. 이 캠페인에는 코루나에 사용된 것과 동일한 제로데이 취약점 2개(포톤, 갈륨)가 사용됐다. 당시 러시아 연방보안국(FSB)은 미국 국가안보국(NSA)이 러시아 내 아이폰 수천 대를 해킹했다고 비난한 바 있다.
모바일 보안회사 아이베리파이(iVerify)의 공동창업자 로키 콜은 "현재까지 알려진 바로는 트렌천트와 미국 정부가 코루나의 최초 개발자 및 고객이라는 것이 가장 타당한 설명"이라고 분석했다. L3해리스와 애플, 구글, 카스퍼스키 등은 이번 사안에 대한 논평 요청에 응하지 않았다.