보안 연구진 연합이 iOS 18.4~18.7 버전을 실행하는 아이폰의 개인 데이터를 무단 탈취하는 익스플로잇 체인 'DarkSword'를 공개했다. 감염된 웹사이트 방문만으로 비밀번호와 암호화폐 지갑이 노출되며, 전 세계 아이폰 사용자의 약 15%인 2억 7,000만 명이 위협에 노출된 것으로 분석된다.

DarkSword의 정교한 침투 메커니즘과 자가 삭제 기술

Lookout Threat Labs, 구글 위협 인텔리전스 그룹(TIG), 모바일 보안 업체 iVerify가 공동 발표한 조사 결과에 따르면, 'DarkSword'는 사용자의 개입이 전혀 필요 없는 '제로클릭(Zero-click)'에 가까운 공격 방식을 취한다. 사용자가 사파리(Safari) 브라우저를 통해 감염된 웹페이지에 접속하는 순간, 총 6개의 취약점이 연쇄적으로 작동하여 브라우저의 보안 샌드박스를 탈출하고 커널 수준까지 권한을 상승시킨다. 이후 핵심 시스템 서비스에 악성 자바스크립트를 주입하여 기기를 완전히 장악한다.

DarkSword의 가장 치명적인 특징은 '공격 후 즉시 철수(Hit-and-run)' 설계에 있다. 멀웨어는 저장된 비밀번호, 사진, 위치 기록은 물론 왓츠앱(WhatsApp)과 텔레그램(Telegram)의 데이터베이스를 신속하게 탈취한다. 특히 코인베이스(Coinbase)와 바이낸스(Binance) 등 암호화폐 지갑 앱까지 공격 대상에 포함된다.

데이터 탈취가 완료되면 멀웨어는 수 분 내에 임시 파일과 흔적을 스스로 삭제하여 보안 소프트웨어의 탐지를 회피한다. 이는 단순한 스파이웨어를 넘어 고도의 전문 기술이 집약된 사이버 무기 체계로 평가받는다.

러시아 연계 위협 행위자 UNC6353의 글로벌 공격 행적

사실 확인 결과, 이번 익스플로잇 체인은 러시아와 연계된 것으로 추정되는 위협 행위자 'UNC6353'의 소행으로 밝혀졌다. 구글은 이들이 최소 2025년 11월부터 공격을 시작했으며 우크라이나, 사우디아라비아, 터키, 말레이시아 등에서 실제 피해 사례를 확인했다. 특히 이번 공격에 사용된 웹사이트들은 주로 악성 코드가 주입된 우크라이나 도메인이었음이 드러났다.

UNC6353은 앞서 보고된 'Coruna' 익스플로잇 체인과도 연관성이 깊으며, 러시아의 익스플로잇 브로커인 '오퍼레이션 제로(Operation Zero)'로부터 핵심 공격 도구를 구매했을 가능성이 제기된다.

Lookout은 이 플랫폼이 고도로 모듈화되어 있어 새로운 멀웨어 기능을 신속하게 개발하고 확장할 수 있는 전문적인 구조를 갖췄다고 지적했다. 대규모 언어 모델(LLM)이 멀웨어의 일부 기능을 확장하는 데 사용된 징후도 포착되어, AI 기술이 사이버 공격의 효율성을 극대화하는 데 악용되고 있음을 시사한다.

애플의 보안 패치 현황과 사용자 대응 가이드

애플은 최근 배포된 최신 iOS 버전을 통해 DarkSword가 악용한 취약점들을 해결했다. 구글이 2025년 말 관련 결함들을 애플에 제보했으며, 모든 문제는 iOS 26.3 버전에서 공식적으로 패치된 상태다. 하지만 구형 기기를 사용하거나 업데이트를 미루고 있는 사용자들의 경우 여전히 공격에 무방비로 노출되어 있다.

보안 전문가들은 조직과 개인 사용자들에게 즉각적인 소프트웨어 업데이트를 권고하고 있다. 업데이트 지원이 중단된 하드웨어의 경우 기기 폐기를 고려하거나, 최소한 '잠금 모드(Lockdown Mode)'를 활성화하여 웹 브라우징 중 발생할 수 있는 익스플로잇 공격을 차단해야 한다.

애플이 과거 사례처럼 구형 iOS 버전에 대해 보안 패치를 백포트(Backport)할지는 아직 확인되지 않았으나, 위협의 정교함과 확산 속도를 고려할 때 최신 운영체제로의 전환이 가장 확실한 방어책이다.