삼성 갤럭시 스파이웨어 공격, 1년간 몰래 진행된 충격적 실체

2024년 7월부터 2025년 4월까지, 삼성 갤럭시 스마트폰 사용자들이 모르는 사이 고도화된 스파이웨어 공격에 노출됐다는 사실이 밝혀졌어요. ‘Landfall’이라는 이름의 이 악성코드는 사용자가 아무것도 클릭하지 않아도 자동으로 실행되는 제로클릭 방식으로 작동했답니다. 중동 지역을 중심으로 특정 개인을 감시하기 위해 사용된 것으로 추정되는 이 공격은, 개인정보 탈취부터 카메라와 마이크 원격 조작까지 가능했던 것으로 알려졌어요.

A dark digital illustration showing a smartphone surrounded by glowing red warning symbols and data streams being extracted, representing cyber espionage attack. Dramatic lighting with blue and red tones, technology security theme, Korean smartphone user in background looking concerned, cinematic style, no text

Table of Contents

제로클릭 공격이란 무엇인가요

일반적인 해킹은 사용자가 의심스러운 링크를 클릭하거나 파일을 다운로드해야 감염되는데요. 하지만 제로클릭 공격은 사용자의 어떤 행동도 필요하지 않아요. 단지 악성 이미지 파일을 받기만 해도, 시스템이 그 파일을 처리하는 과정에서 자동으로 악성코드가 실행되는 방식이랍니다.

Landfall 스파이웨어는 DNG 형식의 이미지 파일을 이용했어요. DNG는 TIFF 기반의 RAW 이미지 포맷인데, 공격자들은 이 파일 안에 악성 코드가 담긴 ZIP 압축 파일을 숨겨놨죠. 삼성 갤럭시 폰의 이미지 처리 라이브러리가 이 파일을 화면에 표시하려고 처리하는 순간, 악성 코드가 자동으로 추출되어 실행되는 구조였어요.

이런 공격이 무서운 이유는 아무리 조심해도 막을 방법이 없다는 거예요. 와츠앱 같은 메시징 앱으로 전송된 이미지를 받는 것만으로도 감염될 수 있었으니까요.

어떤 삼성 기기가 공격 대상이었나요

A clean product photography layout showing Samsung Galaxy S22, S23, S24 smartphones and Z Flip 4, Z Fold 4 foldable phones arranged on a modern white desk, soft studio lighting, professional tech product showcase style, Korean market context, no text

Unit 42 연구팀이 발견한 악성 코드 내부에는 특정 삼성 기기 모델명이 명시되어 있었어요. 주요 타겟은 다음과 같았답니다:

갤럭시 S22 시리즈
갤럭시 S23 시리즈
갤럭시 S24 시리즈
갤럭시 Z Flip 4
갤럭시 Z Fold 4

안드로이드 13부터 안드로이드 15까지 설치된 기기들이 취약점을 가지고 있었던 것으로 보여요. 다행히 2025년 4월 보안 패치를 통해 이 취약점(CVE-2025-21042)은 수정됐답니다.

스파이웨어가 훔쳐간 정보는 무엇인가요

Landfall이 활성화되면 가장 먼저 원격 서버에 기기의 기본 정보를 전송해요. 그 다음부터는 공격자가 원하는 거의 모든 데이터에 접근할 수 있게 되죠:

사용자 ID와 하드웨어 정보
설치된 앱 목록
연락처 전체
기기에 저장된 모든 파일
인터넷 검색 기록과 브라우징 히스토리
카메라 원격 실행
마이크 원격 활성화

특히 카메라와 마이크를 몰래 켤 수 있다는 점이 가장 심각해요. 사용자가 전혀 모르는 사이에 실시간으로 감시당할 수 있었던 거죠. 게다가 SELinux 보안 정책까지 조작해서 시스템 깊숙이 침투했기 때문에, 일반적인 방법으로는 제거하기도 어려웠답니다.

누가 왜 이런 공격을 했을까요

A dark atmospheric illustration showing Middle East region map with glowing network connections and surveillance icons, digital espionage theme, Iraq Iran Turkey Morocco highlighted, cyber intelligence concept, moody lighting with green and blue hues, no text

Unit 42는 이 공격이 중동 지역, 특히 이라크, 이란, 터키, 모로코에서 활발했다고 밝혔어요. 공격 방식과 서버 응답 패턴을 분석한 결과, NSO 그룹이나 Variston 같은 대형 사이버 정보 기업들이 개발한 상업용 스파이웨어와 유사점이 많았다고 해요.

이런 종류의 스파이웨어는 보통 정부나 정보기관이 특정 개인을 감시할 목적으로 사용하는 경우가 많아요. 일반 사용자를 무작위로 공격하는 게 아니라, 특정 타겟을 정해놓고 집중적으로 감시하는 방식이죠.

다만 현재까지 정확히 어떤 조직이나 국가가 배후에 있는지는 밝혀지지 않았어요. 하지만 공격 패턴과 기술 수준을 볼 때, 상당한 자원과 전문성을 갖춘 집단의 소행으로 추정되고 있답니다.

어떻게 발견됐고 지금은 안전한가요

흥미롭게도 이 스파이웨어는 애플 iOS와 와츠앱에서 비슷한 취약점이 패치된 것을 계기로 발견됐어요. Unit 42 연구팀이 “혹시 안드로이드에도 비슷한 공격이 있지 않을까?” 하고 조사를 시작했고, VirusTotal에 업로드된 의심스러운 이미지 파일들을 분석하다가 Landfall을 찾아낸 거죠.

삼성은 2025년 4월 보안 업데이트를 통해 이 취약점을 패치했어요. 현재 최신 보안 패치를 적용한 기기라면 이 공격으로부터 안전하답니다. 하지만 아직 업데이트하지 않은 기기는 여전히 위험할 수 있어요.

더 걱정되는 건, 이제 공격 방식이 공개됐기 때문에 다른 해커들도 비슷한 방법을 시도할 수 있다는 거예요. 그래서 지금이라도 꼭 보안 업데이트를 확인하고 설치하는 게 중요해요.

내 스마트폰을 보호하려면 어떻게 해야 할까요

A clean smartphone screen showing security update settings menu in Korean, hands holding Samsung Galaxy phone, bright natural lighting, lifestyle photography style, modern home interior background, reassuring and safe atmosphere, no text

삼성 갤럭시 사용자라면 지금 당장 확인해야 할 것들이 있어요:

설정 > 소프트웨어 업데이트로 들어가서 최신 보안 패치 확인하기
2025년 4월 이후 패치가 설치됐는지 반드시 체크하기
자동 업데이트 기능 활성화해두기
출처가 불분명한 메시지의 이미지나 파일은 가급적 열지 않기
메시징 앱의 자동 미디어 다운로드 기능 끄기

특히 중동 지역을 자주 방문하거나 그쪽과 연결된 일을 하시는 분들은 더욱 주의가 필요해요. 이번 공격이 특정 지역과 특정 인물을 타겟으로 했던 만큼, 비슷한 위험에 노출될 가능성이 있으니까요.

보안 업데이트는 귀찮게 느껴질 수 있지만, 이런 사례를 보면 얼마나 중요한지 알 수 있죠. 여러분의 개인정보와 프라이버시를 지키는 가장 기본적이면서도 효과적인 방법이랍니다.

여러분은 스마트폰 보안 업데이트를 정기적으로 하고 계신가요? 혹시 이번 삼성 갤럭시 스파이웨어 공격에 대해 궁금한 점이 있다면 댓글로 나눠주세요!

출처: Ars Technica

같이 보면 좋은 글

Hashtags

#삼성갤럭시 #스파이웨어 #Landfall #제로클릭공격 #스마트폰보안 #사이버보안 #해킹 #갤럭시S24 #갤럭시S23 #갤럭시S22 #보안패치 #개인정보보호 #안드로이드보안 #스마트폰해킹 #사이버위협 #정보보안 #모바일보안 #갤럭시보안 #삼성스마트폰 #악성코드 #사이버감시 #보안업데이트 #스마트폰관리 #디지털보안 #IT보안