이미지 하나 받아본 것뿐이었다. 열지도 않았고, 미리보기가 뜨는 순간 감염은 이미 끝나 있었다. 사용자가 알아챌 방법은 없었다. Palo Alto Networks Unit 42 조사관들이 갤럭시 S24 한 대에서 발견한 낯선 프로세스가 실은 9개월간 이라크·이란·모로코·터키의 특정 인물들 폰을 조용히 도청해온 흔적이라는 사실이 2025년 11월 공개됐다.
취약점 번호는 . 삼성 갤럭시가 이미지 파일을 처리하는 라이브러리 libimagecodec.quram.so에 있던 결함이다. 스파이웨어 이름은 LANDFALL. 상업용 감시 도구 시장에서 유통된 것으로 추정되지만 판매자는 아직 공식 확인되지 않았다.
이 사건이 특별한 이유는 두 가지다. 첫째, 사용자 클릭 없이 감염된다. WhatsApp이 이미지를 받아 미리보기를 만드는 순간이 곧 공격 시점이다. 둘째, 삼성은 이미 2025년 4월에 패치를 배포했다. 지금 이 글을 읽는 대부분의 갤럭시 사용자는 이미 안전하다. 다만 9개월 동안 왜 아무도 몰랐는가는 별개 질문으로 남는다.
DNG 사진 안에 숨긴 실행 파일
공격 방식은 단순하지만 정교했다. 공격자는 DNG(Digital Negative, 어도비가 제안한 원본 사진 포맷)를 특별한 방식으로 조작했다. 정상 이미지 데이터 뒤에 ZIP 압축 파일을 붙여 넣은 뒤, libimagecodec.quram.so가 이 파일을 해석하는 과정에서 out-of-bounds write 결함이 발생하게 유도했다.
메모리 경계를 벗어난 쓰기가 성공하면 공격자가 원하는 코드를 실행할 수 있다. LANDFALL의 경우 이미지 안에 숨겨두었던 ZIP을 풀어 b.so와 l.so라는 두 개의 ARM64 공유 라이브러리를 시스템에 심었다. b.so는 스파이웨어 본체를 다운로드하고 실행하는 로더, l.so는 안드로이드 보안 모델의 핵심인 SELinux 정책을 우회해 시스템 재부팅 후에도 살아남게 만드는 역할이었다.
일단 자리를 잡은 LANDFALL은 마이크 녹음, 위치 추적, SMS·연락처·통화 기록·사진 파일을 모두 C2 서버로 전송했다. Unit 42는 이 감시 능력이 이스라엘 NSO Group의 Pegasus나 이탈리아 Intellexa의 Predator와 같은 등급의 상업용 스파이웨어에 해당한다고 평가했다.
표적은 9개월간 조용히 좁혀졌다
Unit 42가 VirusTotal에 업로드된 샘플을 역추적한 결과 LANDFALL 캠페인은 2024년 중반부터 이미 활동 중이었다. 표적은 이라크·이란·모로코·터키. 특정 인권 운동가나 언론인 개인 폰이 공격 대상이었을 가능성이 있지만, 피해자 신원은 공개되지 않았다.
C2 인프라와 도메인 등록 패턴을 분석한 결과 Stealth Falcon이라는 이름으로 알려진 위협 그룹의 과거 작전과 유사한 흔적이 확인됐다. Stealth Falcon은 아랍에미리트 정부와 연관됐다고 여러 매체가 보도한 그룹이지만, LANDFALL과의 연결은 아직 공식적으로 귀속되지 않았다.
주목할 점은 9개월 동안 삼성도, 사용자도, 백신 벤더도 이 활동을 몰랐다는 사실이다. 상업용 스파이웨어는 원래 소수 표적에 정밀 타격하는 방식으로 운영되기 때문에 대량 감염 사건처럼 눈에 띄지 않는다. 특정 국가·특정 인물·특정 통신 앱을 조합해야 한 번씩 발동되는 캠페인이라 위협 정보 커뮤니티의 레이더에 잡히지 않는다.
삼성은 이미 4월에 막았다
2025년 4월 삼성은 Android 보안 패치와 함께 를 조용히 수정했다. 당시 공지에는 "in the wild(실제 악용)" 표시가 있었지만 어떤 캠페인이 이 취약점을 사용했는지는 공개되지 않았다.
Unit 42의 2025년 11월 7일 공개 리포트가 그 실체를 드러냈다. 곧이어 11월 11일 미국 CISA는 를 KEV(활발히 악용되는 취약점 목록)에 등재해 미국 연방기관에 즉시 패치를 명령했다.
지금 시점에서 갤럭시 S22 이상 프리미엄 라인을 사용하고 있다면 2025년 4월 이후 정식 One UI 업데이트를 한 번이라도 받았다면 이 취약점은 이미 막혀 있다. Android 보안 패치 레벨(설정 → 소프트웨어 정보에서 확인)이 2025-04-01 이상이면 안전하다.
왜 이런 공격이 계속 만들어지는가
LANDFALL은 개별 취약점이 아니라 시장 구조의 문제를 보여준다. 상업용 감시 도구 시장은 여전히 확대 중이다. NSO Group·Intellexa·Cytrox 등 알려진 벤더 외에도 이번 사건처럼 신원이 확인되지 않은 신규 벤더들이 계속 등장하고 있다. 이들의 고객은 대체로 각국 정부이며, 표적은 반체제 인사·언론인·인권 운동가·야당 정치인이다.
지난 3년간 공개된 상업용 스파이웨어 캠페인들이 공통적으로 사용한 초기 침투 벡터는 하나다. 메시징 앱을 통한 zero-click 이미지·파일 처리 취약점. iOS의 iMessage 처리 결함(FORCEDENTRY·BLASTPASS 등), Android의 미디어 코덱 결함이 반복적으로 활용됐다. 사용자가 아무것도 안 해도 감염이 시작된다는 특성이 상업용 감시에 최적화됐기 때문이다.
메시징 앱 회사와 OS 벤더가 이 유형의 결함을 계속 찾아 막고 있지만, 상업 벤더는 새로운 결함을 계속 사들이고 있다. 이 순환이 멈추려면 벤더 규제·수출 통제·정부 조달 투명성이 함께 움직여야 한다.
탐지 관점
LANDFALL 같은 상업용 스파이웨어를 개인 사용자가 자체 탐지하기는 어렵다. 안드로이드 표준 도구로는 SELinux 정책 변경이나 새로 심어진 .so 파일을 사용자 수준에서 감지할 방법이 없기 때문이다. 그럼에도 이번 캠페인이 남긴 흔적은 몇 가지 있다.
비정상 DNG 파일 크기: LANDFALL이 사용한 DNG 이미지는 뒤에 ZIP 페이로드가 붙어 있어 원본보다 훨씬 크다. 위협 인텔 팀이 VirusTotal 샘플을 특정하는 데 사용한 시그니처다.
C2 비콘 트래픽: b.so가 감염 후 HTTPS 비콘 루프에 들어가 C2와 주기적으로 통신한다. 도메인 등록 패턴에 특성이 있어 위협 인텔 피드로 배포되고 있다.
SELinux 정책 이상: l.so가 정책 수정을 시도할 때 커널 로그에 흔적이 남는다. 조직 자산 모바일 관리(MDM) 시스템에서 정책 무결성 검증을 활성화하면 포착 가능성이 있다.
일반 사용자에게 실질적인 방어는 최신 소프트웨어 유지·의심스러운 메시징 발신자 즉시 차단이 전부다. 개별 사용자가 표적일 가능성이 낮다는 사실도 함께 인지해야 한다. 상업용 스파이웨어는 대량 감염이 아니라 정밀 표적에 집중한다.
한국 사용자에게 남는 것
한국에서 갤럭시는 프리미엄 라인 시장 점유율이 압도적이다. 이번 LANDFALL 캠페인의 직접적인 표적 목록에 한국이 포함됐다는 증거는 없지만, libimagecodec.quram.so는 국내 판매 갤럭시 모델에도 동일하게 탑재된 라이브러리다. 만약 다른 그룹이 같은 취약점을 알아냈다면, 4월 패치 이전 기간에 한국 사용자를 노렸을 가능성도 배제할 수 없다.
지금 확인할 수 있는 것은 두 가지다. 첫째, 본인 폰의 보안 패치 레벨이 2025-04-01 이상인지 설정 화면에서 확인. 둘째, WhatsApp·Telegram·시그널 등 국제 메시징 앱을 사용한다면 모르는 번호로부터 온 미디어 파일 자동 다운로드를 끄는 설정이 방어의 마지막 층이다.
가장 중요한 사실은 이 사건에서 삼성이 결함을 몰랐던 게 아니라는 점이다. 알아챈 뒤 4월에 신속히 막았고, 발견자인 Palo Alto Unit 42가 11월 공개 리포트로 사건 전모를 알렸다. 이런 대응 체인이 정상 작동하는 한, 개별 취약점은 시간의 문제일 뿐이다.