새 iPhone 해킹 도구 때문에 아직 iOS 18에 머물러 있으면 위험해질 수 있음
TL;DR
Google과 보안업체 Lookout, iVerify가
DarkSword라는 새 iPhone 해킹 기법을 공개함.잘못된 웹페이지 하나만 방문해도 감염이 시작될 수 있고, 아직 iOS 18에 남아 있는 기기들이 노출될 수 있음.
이 공격은 fileless 방식이라 데이터 탈취 뒤 흔적을 거의 남기지 않음.
메시지, iCloud 콘텐츠, 암호화폐 지갑까지 노릴 수 있음.
Apple은 관련 취약점을 최근 iOS 26 업데이트들에서 순차 패치했으며, 업데이트가 가장 중요한 방어 수단으로 남아 있음.
Google과 사이버보안 업체 Lookout, iVerify는 잘못된 웹페이지 하나만 방문해도 상당수 iPhone 사용자를 위험에 빠뜨릴 수 있는 새 해킹 기법을 공개함. 이 해킹은DarkSword라고 불리며, iOS 18의 여러 버전을 겨냥하기 때문에 Wired의 표현대로 “전체 iPhone의 4분의 1 가까이”에 영향을 줄 수 있음.
DarkSword는 여러 익스플로잇을 묶어, 감염된 웹사이트를 방문한 iPhone에서 민감한 데이터에 접근하는 “fileless” 해킹임. 메시지나 다른 개인 정보를 훔친 뒤에도 폰에 오래 남아 있는 스파이웨어를 설치하는 대신, Wired 설명대로 이런 fileless 공격은 “iPhone 운영체제의 정상 프로세스”를 악용해 데이터를 빼냄. 더 우려스러운 건, DarkSword가 정보 탈취를 마친 뒤 자신이 실행됐다는 흔적까지 iPhone에서 지워버린다는 점임.
이 공격은 iOS 기기가 “웹페이지 안에 삽입된 악성 iframe”을 만나는 순간 시작됨. 그 뒤 iPhone 내부를 파고들며 비밀번호 같은 민감한 정보를 모은 다음 스스로를 삭제함. Lookout에 따르면 DarkSword는 메시지나 iCloud 콘텐츠 같은 정보뿐 아니라 암호화폐 지갑에도 접근하도록 설계돼 있음. 이 점은 DarkSword가 널리 퍼지기 전 누가 이 도구를 사용했는지 짐작하게 함.
DarkSword는 우크라이나, 사우디아라비아, 말레이시아, 튀르키예, 러시아에서 사용된 것으로 전해짐. 그 기원은 Coruna라는 다른 해킹 툴킷과 연결될 수 있으며,TechCrunch 보도에 따르면 이 툴킷은 Trenchant라는 회사가 미국 정부를 위해 만들었을 가능성이 있음. DarkSword의 출처가 어디든, 이 도구가 널리 퍼진 건 러시아 사용자가 누구나 접근할 수 있는 웹사이트에 DarkSword 소스 코드를 남긴 뒤였다는 설명임. Wired에 따르면 여기에 각 구성요소를 설명하는 영어 주석과DarkSword라는 이름까지 그대로 들어 있었음.
Apple은 DarkSword와 Coruna가 사용한 익스플로잇을 iOS 26의 최근 업데이트들에서 패치함. iOS 26은 2025년에 나온 연례 소프트웨어 릴리스로, iOS 18 다음 세대 버전임. 문제는 모두가 최신 버전을 쓰고 있지는 않다는 점임. DarkSword는 iOS 18.4부터 iOS 18.6.2 사이의 iOS 18 릴리스를 노리며, Apple의 최신iOS 사용 통계를 기준으로 보면 여전히 적지 않은 기기가 iOS 18에 남아 있음. 정확한 세부 수치가 더 없으면 실제 노출 규모를 단정하긴 어렵지만, 원칙적으로 자신의 iOS 기기가 더 최신 소프트웨어로 업데이트될 수 있다면 가능한 한 빨리 올리는 편이 안전함.
실제 공격은 어떻게 진행됐나
Google Threat Intelligence Group이 2026년 3월 19일 공개한 기술 분석을 보면, 실제 DarkSword는 버그 하나가 아니라 여러 취약점을 묶은 full-chain 공격이었음. 공격자는 먼저 악성 랜딩 페이지나 워터링홀 페이지 안의 iframe으로 Safari를 유도하고, JavaScriptCore 취약점으로 원격 코드 실행을 연 뒤 dyld버그를 붙여 PAC 우회까지 이어감. 그다음 Safari의 WebContent 샌드박스에서 GPU process로, 다시 mediaplaybackd로 이동해 권한 범위를 넓혔고, 마지막에는 XNU 커널 취약점으로 로컬 권한 상승까지 진행함.
Google은 감염 뒤 내려오는 페이로드를 GHOSTBLADE, GHOSTKNIFE, GHOSTSABER 세 계열로 정리했음. 공개 분석에 따르면 이들은 기기 정보, 로그인된 계정 목록, 설치 앱 목록, 사진 썸네일, 앱 파일, 임의 파일 목록, SQLite 데이터베이스 질의 결과 등을 빼낼 수 있었음. 일부 샘플에는 위치 정보, 오디오 녹음, 스크린샷 수집을 염두에 둔 명령 흔적도 보였음. 또 GHOSTKNIFE는 /tmp 아래 임시 경로를 쓰고 crash log까지 지워 흔적을 줄였음.
보호 관점에서 보면 핵심은 업데이트와 공격면 축소임. DarkSword 체인에 쓰인 취약점들은 iOS 26.1(2025년 11월 3일), iOS 26.2(2025년 12월 12일), iOS 26.3(2026년 2월 11일)에서 순차 패치됐음. Google은 업데이트가 어려운 경우 Lockdown Mode를 권고했는데, Apple 설명대로 이 기능은 웹의 복잡한 기술 일부를 제한해 이런 고난도 웹 기반 공격의 표면을 줄이는 데 목적이 있음.
한줄요약: 업데이트 가능한 기기는 IOS 26.x 버전으로 패치
