누군가가 수백만 대의 아이폰을 해킹할 수 있는 익스플로잇 키트를 공개적으로 유출했습니다
Source: TechCrunch
DarkSword 익스플로잇 키트 유출
지난 주, 사이버 보안 연구원들이 iPhone 사용자를 표적으로 하는 해킹 캠페인을 발견했습니다 (link) — 이 캠페인은 DarkSword이라는 고급 해킹 도구를 사용했습니다.
이제 누군가 DarkSword의 최신 버전을 유출하여 코드 공유 사이트 GitHub에 공개했습니다.
연구원들은 이번 유출로 인해 최신 iOS 26 소프트웨어로 아직 업데이트하지 않은 구버전 Apple 운영체제를 실행 중인 iPhone 사용자를 해커가 손쉽게 공격할 수 있게 될 것이라고 경고합니다. 이는 Apple 자체의 구형 기기 데이터에 따르면 수억 대에 달하는 활발히 사용 중인 iPhone 및 iPad에 영향을 미칠 가능성이 있습니다.
“이건 심각합니다. 재활용이 너무 쉽습니다,” 라고 모바일 보안 스타트업 iVerify의 공동 창업자 Matthias Frielingsdorf가 TechCrunch에 월요일에 말했습니다.
“이제는 더 이상 억제할 수 없을 것 같습니다. 따라서 범죄자와 기타 악의적인 행위자들이 이를 배포하기 시작할 것을 예상해야 합니다.”
Frielingsdorf는 새로운 DarkSword 샘플이 그의 팀이 이전에 분석한 인프라와 동일하다고 덧붙였지만, 파일은 약간 다르다고 설명했습니다. GitHub에 업로드된 파일은 단순 HTML과 JavaScript이며, 누구든지 “몇 분에서 몇 시간 안에” 복사·붙여넣기·서버에 호스팅할 수 있습니다.
- “익스플로잇은 바로 작동합니다.”
- “iOS 전문 지식이 전혀 필요하지 않습니다.”
Kimberly Samra, Google(이전 **DarkSword 익스플로잇을 분석**한 회사)의 대변인은 회사 연구원들이 Frielingsdorf의 평가에 동의한다고 밝혔습니다.
문의하기
DarkSword, Coruna, 혹은 기타 정부 해킹·스파이웨어 도구에 대한 추가 정보가 있습니까? 업무용이 아닌 기기에서 Lorenzo Franceschi‑Bicchierai에게 안전하게 연락할 수 있습니다:
- Signal:
+1 917 257 1382 - Telegram / Keybase / Wire:
@lorenzofb - Email: (제공되지 않음)
핸들 matteyeux로 활동하는 보안 취미자는 TechCrunch에 유출된 DarkSword 샘플을 이용하는 것이 매우 쉬운 일이라고 전했습니다. matteyeux는 X에 “온라인에 유통되는 ‘in‑the‑wild’ DarkSword 샘플을 사용해 iOS 18을 실행 중인 iPad mini(이전 세대, DarkSword에 취약)를 해킹할 수 있었다고** 밝혔습니다.
TechCrunch 이벤트
| 위치 | 날짜 |
|---|---|
| San Francisco, CA | October 13‑15, 2026 |
Apple의 대응
Apple 대변인 Sarah O’Rourke는 TechCrunch에 회사가 오래되고 최신 버전이 아닌 운영 체제를 노린 악용을 인지하고 있었으며, 최신 iOS 버전을 실행할 수 없는 기기를 위해 3월 11일에 긴급 업데이트를 배포했다고 밝혔습니다.
“소프트웨어를 최신 상태로 유지하는 것이 Apple 제품의 보안을 유지하기 위해 할 수 있는 가장 중요한 일”이라고 O’Rourke는 말했으며, 업데이트된 소프트웨어를 가진 기기는 위험에 노출되지 않으며, Lockdown Mode 역시 이러한 공격을 차단할 것이라고 덧붙였습니다.
GitHub를 소유한 Microsoft 대변인은 즉각적인 논평 요청에 아직 답변하지 않았습니다.
유출된 코드의 기술적 세부 사항
코드(TechCrunch가 링크를 제공하지 않은, 실제 공격에 사용될 수 있음)에는 악용 방법을 설명하는 여러 주석이 포함되어 있습니다:
-
다크소드 개발자가 작성한 것으로 추정되는 한 주석은 악용이 **“HTTP를 통해 iOS 기기에서 포렌식 관련 파일을 읽고 탈취한다”**고 명시하고, 다음과 같은 문장을 포함합니다:
“이 페이로드는 파일 시스템 접근 클래스를 가진 프로세스에 주입되어야 합니다.”
-
또 다른 주석은 **“포스트‑익스플로잇 활동”**을 언급하며, 접근을 얻은 뒤 데이터 수집을 설명합니다: 연락처, 메시지, 통화 기록, iOS 키체인(와이‑파이 비밀번호 및 기타 비밀) 등을 원격 서버에 덤프합니다.
-
별도의 파일에서는 데이터를 인기 있는 우크라이나 의류 웹사이트에 업로드하는 것을 언급하고 있으며, TechCrunch는 그 목적을 파악하지 못했습니다.
다크소드는 러시아 정부에 의해 사용된 것으로 추정됩니다 해커들이 우크라이나 대상을 공격하는 데 활용되었습니다.
iVerify, Google, 그리고 **Lookout**에 따르면, 이 스파이웨어는 iOS 18을 실행 중인 iPhone 및 iPad를 대상으로 특별히 작동합니다.
Apple 자체 통계에 따르면 (source), 전체 iPhone 및 iPad 사용자 중 약 4분의 1이 아직 iOS 18 이하를 사용하고 있습니다. 25억 대가 넘는 활성 기기(Apple 2026년 1분기 실적)를 고려하면, 이는 수억 명에 달하는 사용자가 다크소드 공격에 취약한 기기를 가지고 있음을 의미합니다.
Frielingsdorf는 모든 사용자가 iPhone 운영 체제를 최신 버전으로 업데이트할 것을 권고합니다.
관련 도구: Coruna
DarkSword의 발견은 연구원들이 또 다른 고급 iPhone 해킹 툴킷 known as Coruna (TechCrunch report)를 밝혀낸 지 불과 몇 주 후에 이루어졌습니다. 보도에 따르면, **Coruna was originally developed**은 미국 군수업체에 의해 개발되었으며 이후 러시아 행위자들에 의해 무기화되었습니다.
Lorenzo Franceschi‑Bicchierai
TechCrunch에서 해킹, 사이버 보안, 감시 및 프라이버시를 다루는 시니어 라이터.
Contact / Verify outreach
- Email: (제공되지 않음)
- Encrypted Signal: +1 917 257 1382
- Keybase / Telegram: @lorenzofb
Zack Whittaker
TechCrunch의 보안 편집자이며 주간 사이버 보안 뉴스레터 **This Week in Security**의 저자입니다.
연락처 / 검증된 연락
- Encrypted Signal: zackwhittaker.1337
- Email: (not provided)