애플 아이폰을 대상으로 한 강력한 소프트웨어 익스플로잇(취약점 악용 도구)이 우크라이나 내 수십 개 웹사이트에 수주간 심어져 수억 대에 달하는 기기에 침투해 정보를 탈취할 가능성이 있다는 분석이 나왔다. 이 익스플로잇은 연구진이 명명한 Darksword로 확인됐다.
2026년 3월 18일, 로이터의 보도에 따르면 보안업체 Lookout과 모바일 보안업체 iVerify, 그리고 알파벳 산하 구글(Alphabet·Google)의 연구진은 이날 Darksword에 대한 공동 분석 결과를 공개했다. 같은 달 3일에는 구글과 iVerify가 별도의 강력한 iPhone 스파이웨어인 Coruna를 공개한 바 있으며, 연구진은 Darksword가 Coruna와 동일한 서버에서 호스팅된 흔적을 발견했다고 밝혔다.
연구진은 Darksword가 iOS 18.4부터 18.6.2까지 버전의 아이폰 사용자에게 전달된 정황을 포착했다. 애플은 해당 iOS 버전들을 2025년 3월부터 2025년 8월 사이에 배포했다. 연구진은 공격자들이 사용한 근본적 버그들에 대해 애플이 이미 여러 차례 보안 패치를 배포했음에도 불구하고 많은 사용자가 업데이트를 적용하지 않아 여전히 취약한 기기가 존재한다고 지적했다.
“최근 발견된 익스플로잇의 흐름이 확인되었고, 이 도구들이 잠재적으로 금전적 목적을 가진 범죄 조직의 손에 들어갔다”고 Lookout의 수석 연구원 저스틴 알브레히트(Justin Albrecht)는 밝혔다.
iVerify와 Lookout의 추정치는 약 2억2천만 대에서 2억7천만 대의 아이폰이 아직 노출된 iOS 버전을 그대로 사용하고 있을 가능성이 있다고 제시했다. 이 수치는 공개된 추정치를 근거로 한 것이다. 구글은 수요일 보고서 발표 이전에는 자신의 발견 내용을 공유하지 않았으며, 애플은 해당 보도자료 요청에 대해 응답하지 않았다.
공격 방식과 발견 경위
연구진은 Darksword가 수십 개의 우크라이나 웹사이트에 심어진 형태로 배포된 것을 확인했다. 이들 사이트를 방문한 iOS 18.4~18.6.2 사용자의 기기에 드라이브바이(방문만으로 악성 코드가 실행되는) 형태로 악성 코드가 설치되었을 가능성이 제기됐다. 또한 iVerify와 Lookout은 Darksword가 Coruna를 운영하던 것으로 의심되는 서버와 동일한 인터넷 서버에서 발견되었다고 밝혔다. 해당 서버들은 Coruna의 운영자들이 사용했다고 의심되는 서버와 연관성이 있다는 설명이다.
“이들이 사용한 도구를 태워버릴(사용 중지할) 우려가 없고, 운영 보안(operational security)이 부실한 상태에서 대량 공격을 수행하고 있다면, 그만큼 도구의 가치를 경시하고 있다는 것을 의미한다”고 iVerify의 공동창업자 겸 COO인 로키 콜(Rocky Cole)은 말했다. 그는 이번 사례가 이전에 주로 국가 수준의 정보기관이 사용하던 정교한 도구들이 시장화되고 있음을 시사한다고 덧붙였다.
용어 설명: 익스플로잇과 스파이웨어
익스플로잇(exploit)이란 소프트웨어나 시스템의 알려지지 않았거나 알려진 취약점을 악용해 시스템에 침입하거나 권한을 탈취하는 도구 또는 기법을 뜻한다. 스파이웨어(spyware)는 사용자의 동의 없이 정보를 수집·전송하는 악성 소프트웨어로, 연락처·문자·위치정보·암호화폐 지갑 정보 등 민감한 데이터를 탈취할 수 있다. 운영 보안(operational security, OPSEC)은 공격자가 자신의 활동이 노출되지 않도록 관리하는 방법을 말한다. 이 사례에서는 전통적으로 OPSEC이 철저했던 국가 수준의 공격자들이 상대적으로 부주의한 운영을 보인 점이 눈에 띈다.
추가 기술적·실무적 관찰
연구진은 이번 Darksword 사례가 두드러진 이유로 다음 사항들을 지적한다: 첫째, 복수의 고급 익스플로잇들이 하나의 캠페인에서 사용되었고, 둘째, 이러한 도구들이 다수의 공개 웹사이트를 통해 대량 확산된 점, 셋째, 일부 운영상 실수(예: 재사용된 서버와 구성, 운영자 신원 노출 가능성 등)로 인해 분석가들이 침해 흔적을 포착할 수 있었다는 점이다. 이러한 특성은 도구의 제작자 또는 유통자가 도구의 장기간 은닉을 우선하지 않고 단기간의 대규모 수익 창출에 초점을 맞추고 있음을 시사한다.
금융·경제적 파급 영향 분석
이러한 스파이웨어의 확산은 단기적으로는 애플 제품에 대한 보안 우려를 높여 사용자들의 업데이트 적용률과 서비스 신뢰성에 영향을 줄 수 있다. 특히 암호화폐 지갑 정보를 목표로 한 사례가 늘어나면 암호화폐 시장의 투자 심리에 부정적 영향을 미칠 가능성이 있다. 기관 투자자와 일반 소비자 모두 보안사고를 민감하게 반응하기 때문에, 애플의 시장 신뢰도가 약화될 경우 단기적인 주가 변동성과 함께 애플 관련 보안 솔루션 업체들의 수요는 증가할 수 있다. 반대로 애플이 신속하고 투명하게 패치를 배포하고, 사용자들이 업데이트를 적극 적용할 경우 신뢰 회복은 상대적으로 빠르게 진행될 수 있다.
중장기적으로 보면, 고급 익스플로잇 생태계의 확산은 보안 산업 전반에 대한 투자 확대와 규제·컴플라이언스 강화로 이어질 가능성이 크다. 기업들은 엔드포인트 보안, 모바일 위협 탐지, 업데이트 관리 체계에 대한 추가 비용을 감수해야 하며, 이는 보안 솔루션 업체의 매출 증가로 연결될 수 있다.
권고 사항
연구진과 보안 전문가들은 사용자에게 즉시 다음 조치를 권고한다: 1) OS 업데이트 적용, 2) 신뢰할 수 없는 웹사이트 방문 자제, 3) 암호화폐 지갑의 개인키를 고립된 형태로 보관(하드웨어 월렛 권장), 4) 모바일 보안 솔루션 및 다단계 인증 사용. 조직 차원에서는 모바일 기기 관리(MDM) 정책 강화, 네트워크 트래픽 모니터링, 의심스러운 서버와의 통신 차단 등을 권장한다.
향후 전망
이번 발견은 고도로 정교한 iOS 익스플로잇이 국가 수준의 작전에서만 사용되는 시대가 끝나고 있음을 보여준다. 보안 전문가들은 동일한 도구가 범죄조직에 의해 상업적으로 전환될 수 있음을 경고하며, 이에 따른 방어 체계의 보완과 국제적 정보 공유의 필요성을 강조하고 있다. 연구진들은 Darksword와 Coruna의 연관성, 운영자 실체 규명, 추가 피해 범위 파악을 위해 지속적인 추적과 분석을 진행할 것이라고 밝혔다.
