아이폰 수억 대를 해킹할 수 있는 새로운 악성 툴킷이 실제 공격에 사용되고 있는 것으로 확인됐다.

구글 위협 인텔리전스 그룹(GTIG)과 보안 기업 아이버리파이(iVerify)·룩아웃(Lookout) 연구진은 3월 18일 '다크소드(DarkSword)'라는 정교한 아이폰 해킹 기법을 공동으로 공개했으며, 이는 악성 웹사이트를 방문하는 것만으로 아이폰을 즉시·무음으로 해킹할 수 있는 워터링홀(watering hole) 방식이다.

다크소드는 iOS 18.4~18.7 버전을 표적으로 삼아 6개 취약점을 연쇄 활용하며, 애플 자체 집계 기준 지난달 현재 전체 아이폰의 약 4분의 1이 여전히 iOS 18을 사용 중이어서 추정 2억 2,000만~2억 7,000만 대가 위험에 노출돼 있다.

구글은 2025년 11월부터 러시아 연계 해킹 그룹 'UNC6353'을 비롯해 터키 상업 스파이웨어 업체 'PARS 디펜스' 관련 그룹 등 복수의 위협 행위자가 다크소드를 사우디아라비아·터키·말레이시아·우크라이나 이용자를 상대로 각각 다른 캠페인에 활용했다고 밝혔다. 감염 성공 시 'GHOSTBLADE'·'GHOSTKNIFE'·'GHOSTSABER' 등 세 가지 악성코드 패밀리가 배포되며, 비밀번호·사진·아이메세지·왓츠앱·텔레그램 로그·브라우저 기록·건강 앱 데이터·암호화폐 지갑 정보 등을 수분 내 탈취한 뒤 흔적을 지우는 '파일리스(fileless)' 방식을 사용한다.

구글은 해당 취약점들을 2025년 말 애플에 신고했고, iOS 26.3 업데이트로 전체 패치가 완료됐으나 업데이트를 하지 않은 기기는 여전히 위험하다. 전문가들은 이번 사태가 과거 극소수 표적에만 쓰이던 고급 해킹 기법이 브로커를 통해 사이버 범죄자에게까지 무차별 유통되는 새로운 '세컨드핸드 익스플로잇' 시장이 형성됐음을 보여준다고 경고했다.