취약점이 아니라 산업이다: Coruna Exploit kit이 보여준 모바일 해킹의 경제학

스마트폰 보안 논의에서 iOS는 오랫동안 가장 강력한 방어 모델을 갖춘 플랫폼으로 평가되어 왔다. 코드 서명 강제, 애플리케이션 샌드박스, 메모리 보호 기술, 그리고 Secure Enclave와 같은 하드웨어 기반 보안까지 여러 층의 방어 구조가 결합되어 있기 때문이다. 이러한 설계 덕분에 iPhone을 침해하는 공격은 일반적으로 고급 제로데이 취약점과 정교한 Exploit Chain을 필요로 하는 것으로 알려져 왔다.

그러나 최근 보안 연구자들이 분석한 Coruna iOS Exploit Kit은 이 인식을 다시 생각하게 만든다. 이 도구는 단일 취약점을 이용한 공격 코드가 아니다. 대신 여러 취약점을 자동으로 조합해 iPhone을 침해할 수 있는 공격 프레임워크(Framework)다. 연구자들에 따르면 Coruna는 20개가 넘는 취약점을 포함하고 있으며 기기 환경에 맞는 Exploit Chain을 자동으로 선택해 실행하는 구조를 갖고 있다.

이 공격이 보여주는 것은 단순한 기술적 발전이 아니다. 그것은 모바일 공격 기술이 어떻게 하나의 산업 구조 속에서 작동하고 있는지를 보여주는 사례다.

웹 접속에서 시작되는 침투 공정

Coruna 공격은 대부분 평범한 웹 접속에서 시작된다. 이는 일반적으로 알고 있는 Exploit Kit과 동일한 시작을 갖고 있다고 평가할 수 있으며 모바일이라 하더라도 웹이라는 Surface가 효과적이라는 것을 보여주는 것이다. 사용자가 특정 웹 페이지에 접속하면 공격 인프라는 곧바로 Exploit을 실행하지 않는다. 우선 기기의 환경을 분석한다. iOS 버전, 기기 모델, 브라우저 환경, 보안 설정 등 다양한 정보를 수집한 뒤 공격이 성공할 가능성이 높은 기기만을 선택한다. 예를 들어 Apple이 제공하는 Lockdown Mode가 활성화된 기기에서는 공격을 중단하기도 한다.

이 과정은 공격 방식의 중요한 변화를 보여준다. 과거 Exploit은 가능한 많은 시스템을 공격하려는 성격이 강했다. 그러나 Coruna와 같은 Eexploit Kit은 성공 확률을 극대화하기 위해 표적을 선택적으로 공격한다. 표적이 결정되면 공격의 첫 단계를 수행한다. 대부분의 iOS 공격과 마찬가지로 시작점은 WebKit 취약점이다. Safari 또는 WebKit 기반 브라우저에서 발생하는 취약점을 이용해 공격자는 브라우저 프로세스 내부에서 코드를 실행할 수 있다.

하지만 이 단계에서 확보되는 권한은 제한적이다. 브라우저 프로세스는 iOS 보안 구조 안에서 강력한 샌드박스 환경에 격리되어 있기 때문이다. 따라서 공격자는 다음 단계로 Sandbox Escape를 시도한다. Sandbox Escape 후에 권한 상승(Privilege Escalation)을 시도한다. 이와 같은 큰 3단계가 Exploit Chain의 일반적인 모습이다. 이 과정을 통해 공격자는 최종적으로 시스템 권한을 확보하고 Spyware를 설치할 수 있다.

Coruna Exploit Kit의 특징은 이러한 Exploit Chain을 모듈화된 형태로 자동 조합한다는 점이다. 즉 공격자는 특정 취약점을 선택적으로 개발하는 대신 다양한 Exploit을 미리 준비해 두고 환경에 맞는 Exploit Chain을 설정하고 자동으로 실행한다.

Exploit Kit이 바꾸는 공격의 성격

Coruna Exploit Kit이 의미하는 변화는 단순한 기술 발전이 아니다. 이 도구는 공격 기술의 사용 방식 자체를 바꾼다. 과거 iOS 공격은 극도로 제한된 능력이었다. 취약점을 발견하고 Exploit Chain을 구성하는 능력은 극소수 보안 연구자나 국가 정보기관만이 보유한 기술이었다. 모바일 운영체제는 복잡한 메모리 보호와 샌드박스 구조를 갖고 있기 때문에 단일 취약점만으로는 공격이 성립하지 않는다. 그러므로 앞서 설명한 것과 같이 여러 단계의 Exploit을 연결해야 실제 침투가 가능하다.

그러나 Exploit Kit이 등장하면 상황이 달라진다. Exploit Kit은 취약점 연구 결과를 하나의 공격 프레임워크로 묶는다. 취약점 연구자는 여전히 소수지만, Exploit Kit을 사용하는 공격자는 크게 늘어날 수 있다. 공격의 핵심 능력이 취약점 연구에서 도구 운영으로 이동하기 때문이다. 이 변화는 사이버 보안 역사에서 이미 여러 번 나타난 패턴이다.

2000년대 후반 등장한 Blackhole Exploit Kit은 웹 공격 환경을 크게 바꾼 대표적인 사례다. Blackhole은 브라우저 취약점 공격을 자동화한 도구로, 공격자는 단순히 Exploit Kit을 설치하고 악성 웹 페이지로 트래픽을 유도하기만 하면 됐다. 취약점 연구 능력이 없어도 대규모 공격이 가능해졌고, 그 결과 Exploit Kit은 당시 인터넷 기반 범죄 생태계를 빠르게 확장시켰다.

중요한 점은 Exploit Kit이 취약점을 더 많이 만들지 않았다는 것이다. 이미 존재하던 취약점을 사용하기 쉽게 만들었을 뿐이다. 그러나 그 변화만으로도 공격 규모는 크게 증가했다.

보안 역사에서 공격이 확산되는 순간은 취약점이 발견되는 시점이 아니라 취약점이 도구로 변하는 시점이었다.

Exploit 기술의 산업화

이 지점에서 공격 기술은 새로운 단계로 넘어간다. Exploit Kit의 등장은 단순한 공격 자동화가 아니라 Exploit 산업화의 일부다.

오늘날 모바일 Spyware 시장은 단순한 공격 코드 거래를 넘어 완전한 감시 시스템 산업으로 발전했다. 이러한 산업은 일반적으로 Commercial Surveillance Vendor라고 불리는 기업들에 의해 운영된다.

Google의 Threat Analysis Group에 따르면 현재 전 세계에서 수십 개의 상업 감시 기업들이 Exploit과 Spyware 기술을 개발하거나 판매하고 있다. 하지만 이 기업들은 단어 그대로의 Exploit와 Spyware를 판매하는 경우는 거의 없다. 오히려 완전한 감시 시스템을 제품(Product)으로 제공한다.

• Exploit Chain
• Spyware Implementation
• Command-and-Control 인프라
• 데이터 분석 플랫폼

즉, Exploit 또는 Spyware라는 부분적인 공격 코드가 아닌 완성된 제품을 제공한다는 것이다.

Commercial Spyware 산업의 특징은 가격 구조에서도 드러난다. 예를 들어 일부 감시 시스템은 수백만 달러 규모의 비용으로 정부 기관에 판매되는 것으로 알려져 있다. 이 가격에는 Exploit Chain뿐 아니라 감염 인프라, 데이터 분석 시스템, 운영 교육, 그리고 지속적인 Exploit 업데이트까지 포함된다. 이 구조는 공격 능력을 상품화한다. 과거에는 Exploit을 개발하는 연구자가 곧 공격자였다. 그러나 지금은 Exploit 개발자와 공격자가 분리된다. Exploit 연구자는 취약점을 발견하고 Chain을 개발하고, 상업 감시 기업은 이를 제품으로 포장하며, 정부나 조직은 그 제품을 구매해 감시 활동에 사용한다.

대한민국에 던지는 질문

Coruna Exploit Kit이 던지는 질문은 단순히 보안 기술에 관한 것이 아니다. 그것은 Exploit 기술을 바라보는 국가 전략에 관한 질문이기도 하다.

오늘날 Exploit 연구는 전 세계적으로 활발한 산업 영역이 되고 있다. 상업 감시 기업, 취약점 브로커, 보안 기업, 그리고 정부 기관이 모두 이 생태계에 참여하고 있다. 그러나 대한민국의 상황은 조금 다르다. 대한민국에는 세계적으로 경쟁력 있는 보안 연구자들이 존재한다. 그러나 Exploit 연구와 관련된 투자 규모와 산업 구조는 매우 제한적이다. 이로 인해 우수한 연구자들은 종종 해외 기업으로 이동하거나 글로벌 취약점 시장에서 활동하게 된다. 문제는 Exploit 시장이 국경의 제약을 거의 받지 않는다는 점이다. 취약점 연구자는 전 세계 어디에서든 연구 결과를 거래할 수 있다. 즉, Exploit 연구 생태계가 작은 국가는 결국 자국의 인재를 유지하기 어려운 구조에 놓이게 된다. 이는 이미 현실이다.

보안 경쟁의 본질

Exploit 기술은 종종 공격 기술로만 인식된다. 그러나 실제로는 보안 산업 전체의 중요한 일부다. 취약점을 발견하는 능력은 보안을 공격하는 능력이기도 하지만 동시에 보안을 이해하는 능력이기도 하다.

Coruna exploit kit이 보여주는 것은 iOS 보안의 실패가 아니다. 그것은 더 근본적인 질문을 던진다. 모바일 보안 경쟁은 단순한 기술 경쟁이 아니라 취약점 연구와 Exploit 개발 역량을 둘러싼 산업 경쟁이라는 사실이다. 그리고 그 경쟁은 이미 시작되어 많은 진전이 있었으며 우리는 이를 위한 우수한 인재를 보유하고 있다.

우리는 이 경쟁에 뛰어들 것인가? 아니면 뒤쳐져 그들의 도구에 당할것인가? 이것도 아니면 적절하게 이용할 것인가?

Related Materials

• Two Former Polish Intelligence Chiefs Charged Over Use of Pegasus Spyware, 2026년
• NSO Group Faces Continued Scrutiny Over Pegasus Spyware Use , 2025년
• NSO Group Ordered to Pay $170 Million in Damages Over Pegasus WhatsApp Hac, 2025년

텔레그램은 사이버 범죄 사무실이자 육성소이자 미래

💡Editor’s Pick - 텔레그램으로 빠르게 이동하는 해커들 - 과거 다크웹에서 하던 짓들을 이제 텔레그램에서 버젓이 - 텔레그램의 편의성이 사이버 범죄 촉진하고 후발주자들 육성시켜 유명 채팅 앱 텔레그램(Telegram)이 “사이버 공격자들의 사무실로 전락했다”는 고발이 나왔다. 보안 기업 사이퍼마(CYFIRMA)에 의하면 “다크웹에서 이뤄지던 일들이 거의 대부분 텔레그램으로 옮겨 왔다”

더테크엣지(The Tech Edge)문가용 기자

전화번호는 신뢰 가능한 수단인가?

💡Editor Pick - 우리의 본인인증 수단인 전화번호 기반의 인증은 안전한가? - 해외의 경우 그 방향성을 어떻게 수립하고 있는가? 캐나다 정부가 5년 동안 추적한 SIM 보안의 구조적 의미 2026년, 캐나다 사이버 보안 센터(Cyber Centre)가 발표한 “Security considerations for SIMs (ITSAP.10.021)”는 표면적으로 SIM 스와핑 대응을 위한 기술

더테크엣지(The Tech Edge)Donghwi Shin

제프리 엡스타인은 스캔들이 아니라 구조였다

💡Editor Pick - 2019년 사건은 개인을 향했고 2026년 문서 공개는 구조를 드러냄 - 국가는 어디까지 네트워크를 활용할 수 있으며, 감시 책임 주제는? - 정보가 소유되고 축적될 때 권력으로 발전 2019년의 사건, 2026년의 문서 공개, 그리고 ‘정보의 민영화’라는 질문 2019년 7월, 뉴욕에서 체포된 제프리 엡스타인(Jeffrey Epstein)은 미성년자 성착취

더테크엣지(The Tech Edge)Donghwi Shin