[오늘의 보안 동향] 구글 "아이폰 해킹 도구 다크스워드 확산"…정부 정보기관·스파이웨어 업체 동시 악용 정황

<3~7줄 요약>

구글 위협 인텔리전스 그룹(GTIG)이 iOS 익스플로잇 체인 '다크스워드(DarkSword)'를 공개하였으며, 국가 지원 해킹조직(UNC6748, UNC6353)과 터키 상업용 감시업체(PARS Defense)가 동시에 이 도구를 악용해온 정황이 확인됨. 분석은 구글, 아이버리파이(iVerify), 룩아웃(Lookout)이 공동으로 수행했고, 다크스워드는 최소 2025년 11월부터 실제 공격에 사용된 것으로 파악됨

다크스워드는 사파리 웹 콘텐츠 처리 취약점(CVE-2025-31277 또는 CVE-2025-43529) → dyld 우회(CVE-2026-20700) → GPU 프로세스 샌드박스 탈출(CVE-2025-14174) → 커널 권한 상승(CVE-2025-43520)까지 이어지는 완전한 공격 체인으로 구성되어 iOS 기기를 완전히 장악할 수 있으며, iOS 18.4부터 18.6.2까지 영향을 받음

공격은 악성 웹사이트 방문만으로 시작되며, 감염 이후 메시지, 계정 정보, 위치 기록, 음성 녹음, 브라우저 데이터, 가상화폐 지갑 정보까지 광범위하게 탈취 가능. 파일리스 방식으로 동작하기 때문에 재부팅 후 흔적이 희미해지는 특징을 보유

UNC6748은 사우디아라비아 이용자를 대상으로 스냅챗 테마의 워터링 홀 공격을 수행하며 고스트나이프(GhostKnife) 백도어를 배포했으며, PARS Defense는 터키와 말레이시아 이용자를 겨냥해 고스트세이버(GhostSaber) 백도어를, UNC6353은 러시아 연계 그룹으로 우크라이나 이용자를 노린 공격에서 고스트블레이드(GhostBlade) 데이터 탈취 도구를 배포함

고스트나이프는 계정·메시지·브라우저 데이터·위치·녹음 파일 수집 및 스크린샷 촬영 기능을 갖춘 다기능 백도어이며, 고스트세이버는 상업용 감시도구 특유의 빠른 실전 배치 후 점진적 개선 흐름을 보이고, 고스트블레이드는 대량 데이터 수집과 빠른 추출에 집중한 국가 정찰 작전형 도구

이번 사례는 iOS 익스플로잇이 더 이상 특정 정보기관의 독점 무기가 아니라 정부 지원 조직, 상업용 감시업체, 범죄성 정보탈취 운영자 사이에서 동시에 재사용·재판매·재배포되고 있음을 보여주며, 최근 공개된 코루나(Coruna) 프레임워크 사례와 함께 모바일 제로데이와 악성도구의 광범위한 확산을 시사

<용어 및 프로그램 설명>

다크스워드(DarkSword) : iOS 18.4~18.6.2를 겨냥한 완전한 익스플로잇 체인으로, 6개의 연속된 CVE를 악용하여 아이폰을 완전히 장악할 수 있는 파일리스 공격 도구. 악성 웹사이트 방문만으로 감염되며 재부팅 후 흔적이 희미해지는 특징을 보유

익스플로잇 체인(Exploit Chain) : 여러 개의 취약점을 순차적으로 악용하여 초기 침투에서 최종 목표(시스템 장악)까지 도달하는 공격 방식으로, 각 단계에서 권한 상승 또는 제한 우회를 수행

샌드박스 탈출(Sandbox Escape) : 응용 프로그램이 실행되는 격리된 환경(샌드박스)에서 벗어나 전체 시스템에 접근하는 공격으로, iOS 보안의 핵심 방어 메커니즘 중 하나를 무력화하는 행위

파일리스 공격(Fileless Attack) : 악성 파일을 디스크에 저장하지 않고 메모리(RAM)에만 상주시키는 공격 방식으로, 재부팅 후 흔적이 남지 않아 탐지가 어려운 특징을 보유

워터링 홀 공격(Watering Hole Attack) : 공격 대상이 자주 방문하는 웹사이트에 악성 코드를 삽입하여 방문자를 일괄 감염시키는 사회공학 공격

백도어(Backdoor) : 공격자가 감염된 시스템에 원격으로 접근할 수 있도록 만든 비인가 진입 경로로, 이후 정보 탈취, 명령 실행, 추가 악성코드 배포 등이 가능하게 함

UNC6748, UNC6353 : 구글이 분류한 위협 행위자 그룹으로, UNC6748은 국가 지원 해킹조직으로 의심되고 UNC6353은 러시아 연계 정보기관으로 추정되는 조직

PARS Defense : 터키 소재로 추정되는 상업용 감시업체로, 정부 수요에 기반한 합법적 감시 도구를 개발·판매하는 것으로 알려진 조직

코루나(Coruna) : iOS 13~17.2.1을 겨냥한 23개 익스플로잇 기반 프레임워크로, 다크스워드와 유사한 시기에 같은 위협 행위자들에 의해 활용됨

포렌식 분석 : 침해 의심 기기에서 증거를 수집하고 분석하여 공격 흔적, 침해 범위, 탈취 정보 등을 파악하는 조사 기법

<출처 및 원본 문서>

출처: 데일리시큐(Daily Secu) 기사 주소: https://www.dailysecu.com

데일리시큐

 

<원문 내용>

구글 "아이폰 해킹 도구 다크스워드 확산"…정부 정보기관·스파이웨어 업체 동시 악용 정황

구글 위협 인텔리전스 그룹(GTIG)이 아이폰 이용자를 겨냥한 새로운 iOS 익스플로잇 체인 '다크스워드(DarkSword)'를 공개하며, 상업용 감시업체와 국가 지원 해킹조직으로 의심되는 복수의 공격 주체가 이 도구를 동시에 활용해 온 정황이 확인됐다고 경고했다. 이번 분석은 구글, 아이버리파이(iVerify), 룩아웃(Lookout)이 함께 수행했으며, 다크스워드는 최소 2025년 11월부터 실제 공격에 사용된 것으로 파악됐다.

이번 사안이 더 주목받는 이유는 다크스워드가 단순한 단일 취약점 악용이 아니라, 사파리와 웹 콘텐츠 처리, 샌드박스 탈출, 커널 권한 상승까지 이어지는 완전한 공격 체인 형태로 구성됐기 때문이다. 연구진은 이 체인이 iOS 기기를 사실상 완전히 장악할 수 있으며, 감염 이후 메시지, 계정 정보, 위치 기록, 음성 녹음, 브라우저 데이터, 가상화폐 지갑 관련 정보까지 광범위하게 탈취할 수 있다고 설명했다.

감염은 악성 사이트 방문만으로 시작
공격은 사용자가 악성 웹사이트를 방문하는 것만으로 시작되는 방식으로 분석됐다. 구글에 따르면 다크스워드는 iOS 18 계열을 겨냥했으며, 아이버리파이는 노출 범위를 iOS 18.4부터 18.6.2까지로 설명했다. 구글은 이 익스플로잇이 최소 2025년 11월부터 여러 캠페인에서 사용됐다고 밝혔고, 아이버리파이는 우크라이나를 겨냥한 워터링 홀 공격에서 해당 체인을 확인했다고 전했다.

초기 침투 단계에서는 iOS 버전에 따라 웹 콘텐츠 처리 과정의 취약점인 CVE-2025-31277 또는 CVE-2025-43529가 사용됐다. 이어 dyld 구성요소의 CVE-2026-20700을 이용해 보안 보호 메커니즘 우회를 시도했고, GPU 프로세스에서는 ANGLE의 범위 밖 쓰기 취약점인 CVE-2025-14174를 악용해 샌드박스를 탈출했다. 이후 AppleM2ScalerCSCDriver 관련 경로에서 CVE-2025-43510을 트리거하고, 마지막으로 CVE-2025-43520을 통해 커널 권한 상승을 수행한 뒤 시스템 프로세스에 인메모리 자바스크립트 임플란트를 주입해 정보 탈취를 진행한 것으로 정리됐다.

이번 공격 체인에 포함된 6개 취약점은 모두 현재 패치된 상태다. 애플은 CVE-2025-43529와 CVE-2025-14174에 대해 특정 표적을 겨냥한 고도로 정교한 공격에 악용됐을 수 있다고 공지했고, CVE-2026-20700 역시 같은 맥락의 실제 악용 정황이 있었다고 밝혔다. 이는 다크스워드가 단순 연구용 개념증명이 아니라 실제 현장에서 운영된 공격 도구였음을 뒷받침한다.

최소 3개 그룹이 같은 도구를 나눠 쓴 정황
구글은 다크스워드를 사용하는 세 개 이상의 위협 주체를 식별했다고 밝혔다. 하나는 UNC6748로, 2025년 11월 사우디아라비아 이용자를 상대로 스냅챗(Snapchat) 테마의 snapshare 채팅 사이트를 활용해 반복적으로 공격을 수행한 것으로 조사됐다. 이 그룹은 고스트나이프(GhostKnife) 백도어를 배포한 것으로 파악됐다.

또 다른 주체는 터키 상업용 감시업체로 지목된 파스 디펜스(PARS Defense)다. 이 조직은 터키와 말레이시아 이용자를 겨냥해 공격했으며, 고스트세이버(GhostSaber) 백도어를 사용한 것으로 분석됐다. 연구진은 일부 샘플에서 마이크 녹음과 위치 전송 기능 정의가 보였지만, 실제 구현은 완성되지 않은 부분도 있었다고 설명했다.

세 번째는 러시아 연계 그룹 UNC6353이다. 이 그룹은 앞서 공개된 iOS 익스플로잇 프레임워크 코루나(Coruna)를 사용한 주체로도 지목됐는데, 이번에는 우크라이나 이용자를 노린 워터링 홀 공격에서 다크스워드를 활용해 고스트블레이드(GhostBlade) 데이터 탈취 도구를 배포한 것으로 나타났다. 구글과 아이버리파이는 코루나와 다크스워드가 같은 시기, 비슷한 공격 맥락에서 활용된 정황을 제시했고, 이는 고급 iOS 익스플로잇 체인이 정부 지원 조직뿐 아니라 민간 감시업체에도 퍼져 있음을 시사했다.

백도어 3종, 기능은 다르지만 목적은 같아
고스트나이프는 세 백도어 가운데 가장 다기능형에 가깝다. 계정 정보, 메시지, 브라우저 데이터, 위치, 녹음 파일 등 다양한 데이터를 수집할 수 있고, 파일 다운로드, 스크린샷 촬영, 마이크 녹음 기능까지 포함한 것으로 분석됐다. 단순 정찰을 넘어 감염 단말을 원격 감시 플랫폼처럼 활용하려는 의도가 짙게 드러난다.

고스트세이버는 디바이스와 계정 정보 열거, 파일 목록 수집, 데이터 유출, 원격 자바스크립트 실행 기능을 지원했다. 일부 기능은 완성도가 떨어졌지만, 설계 방향 자체는 감시와 정보수집에 초점이 맞춰져 있었다. 보안업계는 이를 상업용 감시도구 특유의 빠른 실전 배치 후 점진적 개선 흐름으로 해석하고 있다.

고스트블레이드는 상대적으로 기능이 제한적이었다. 지속성 확보나 복잡한 백도어 기능보다는 대량 데이터 수집과 HTTPS 기반 외부 전송에 무게가 실린 형태였다. 그러나 기능이 단순하다고 해서 위협이 낮은 것은 아니다. 필요한 정보만 빠르게 뽑아내고 흔적을 줄이는 방식은 국가 배후 정찰 작전에서도 자주 보이는 접근법이다.

"표적형 아이폰 해킹"에서 "재사용 가능한 공격 상품"으로
이번 다크스워드 사안은 최근 공개된 코루나 사례와 함께, 아이폰 익스플로잇이 더 이상 특정 정보기관의 독점 무기가 아니라는 점을 보여줬다. 이달 초 아이버리파이와 구글은 코루나가 iOS 13부터 17.2.1 구간을 겨냥한 23개 익스플로잇 기반 프레임워크라고 공개한 바 있다. 불과 2주 만에 또 다른 대형 체인인 다크스워드가 드러나면서, 모바일 제로데이와 후속 악성도구가 여러 행위자 사이에서 재사용·재판매·재배포되고 있을 가능성이 한층 커졌다.

룩아웃은 다크스워드와 코루나 모두 민감 정보와 가상화폐 데이터를 탈취할 수 있다는 점에 주목했다. 이는 이 도구들이 전통적인 사이버 스파이 활동뿐 아니라 금전 탈취에도 동시에 쓰일 수 있음을 뜻한다. 특히 UNC6353에 대해 룩아웃은 자금력과 네트워크는 갖췄지만 기술적 정교함은 상대적으로 낮은, 러시아 정보기관 수요와도 맞닿아 있는 행위자라고 평가했다.

주요 외신도 이번 사안을 단순 모바일 악성코드 발견으로 보지 않았다. 여러 외신은 수억 대 규모의 아이폰이 잠재적 노출 범위에 들어갈 수 있다고 짚었고, 다크스워드가 감염된 웹사이트에 삽입돼 파일리스 방식으로 동작하며 재부팅 후 흔적이 희미해지는 점을 강조했다. 또 이번 사례를 정부 해킹도구와 상업용 스파이웨어 시장이 만나는 지점으로 해석했다.

해당 취약점들은 이미 패치됐기 때문에, 이용자는 최신 iOS로 즉시 업데이트해야 한다. 다만 더 중요한 문제는 공격 생태계가 바뀌고 있다는 점이다. 과거에는 수백만 달러급 모바일 익스플로잇이 극소수 정보기관의 표적 작전에 쓰이는 경우가 많았다면, 이제는 같은 급의 도구가 상업용 감시업체, 국가 연계 조직, 범죄성 정보탈취 운영자 사이에서 동시에 쓰이는 흐름이 확인되고 있다.

특히 악성 웹사이트 방문만으로 감염이 시작되고, 설치형 앱이 아니라 메모리 상주 방식으로 움직이며, 메시지와 계정 정보는 물론 위치, 녹음, 가상화폐 지갑 데이터까지 노린다는 점은 고위험군 이용자만의 문제가 아니라는 뜻이기도 하다. 외교, 안보, 언론, 인권 분야 종사자뿐 아니라 특정 국가, 산업, 정치 이슈와 연관된 일반 이용자도 표적이 될 수 있다는 경고로 읽힌다.

아이폰은 기본적으로 안전하다는 인식만으로는 더 이상 충분하지 않다는 점을 보여줬다. 최신 패치 적용, 의심 사이트 접속 최소화, 고위험군 대상 모바일 보안 점검, 침해 의심 시 기기 재부팅만으로 안심하지 않는 포렌식 체계가 함께 필요해졌다고 볼 수 있다. 다만 재부팅 후 흔적이 줄어드는 파일리스 특성 때문에, 실제 침해 여부 판단은 일반 사용자가 혼자 하기 어렵다는 점도 함께 봐야 한다.