삼성 갤럭시의 Knox 방어 컴포넌트 PROCA에 8년 잠복한 커널 Use-After-Free 결함(CVE-2026-20971)이 2026년 6월 22일 공개됐다. 갤럭시 S9~S25 · 안드로이드 13~16 광역 영향. 삼성은 1월 조용히 패치했고, 한국 규제 당국의 공식 대응은 아직 없다.
"우리 갤럭시는 Fort Knox처럼 안전하다." 삼성은 2013년부터 이 문구로 자기 스마트폰의 보안 브랜드 이름을 지어 왔다. 미국 켄터키의 금괴 저장소, 뚫린 적 없는 요새. 그 요새 안에서 문을 지키던 컴포넌트의 이름이 2026년 6월, PROCA라는 세 글자로 CVE 목록에 올랐다.
. 미국·유럽 매체가 8년 묵은 커널 결함이라 부르는 그 취약점은 갤럭시 S9부터 최신 S25까지, 안드로이드 13에서 16까지 폭넓게 열려 있었다. 필요한 조건은 하나뿐이다. 아무 앱 하나만 사용자가 설치하면 된다. 루트 권한도, 물리 접근도, 사용자 클릭도 필요 없다.
배경: PROCA는 뭘 지키던 문지기였나
Knox 아키텍처 안에서 PROCA는 Process Authenticator의 약자다. 갤럭시 위에서 실행되는 모든 프로세스가 "이 앱은 승인된 것인가"를 커널 레벨에서 검사받는 관문이다. 짝인 FIVE(File Integrity Verification Extension)가 파일 무결성을 측정하면, PROCA가 그 값을 근거로 실행 여부를 결정한다.
삼성 마케팅은 Knox를 military-grade·defense-grade 브랜드로 밀어 왔다. 미국 국방부(DoD) 승인 목록에 오른 유일한 상용 안드로이드였고, 갤럭시 S23 Tactical Edition은 실제로 미군에 납품됐다. 이 신뢰의 물리적 뿌리에 PROCA가 있었다. 앱이 뭘 하든 커널 문지기가 확인한다는 약속.
그 문지기 자신이 8년 동안 문 옆에 열쇠를 걸어 두고 있었다.
공격 전개: 문지기의 손이 스스로를 놓쳤다
이스라엘 리서치 회사 LucidBit Labs의 리서처 Lior Keshet이 발견한 결함은 커널 메모리에서 벌어지는 경쟁 조건이다. 갤럭시 커널에는 각 프로세스마다 task_integrity라는 무결성 객체가 붙는다. 문지기가 매 순간 이 객체를 참조해 "이 프로세스는 승인된 것인가"를 확인한다.
문제는 리눅스에서 앱이 새 프로그램으로 자기를 갈아치우는 순간, 즉 시스템 호출 하나로 프로세스 실체가 통째로 교체되는 그 짧은 틈이다. PROCA가 옛 무결성 객체의 주소를 손에 쥔 채로 그 틈에 들어가면, 이미 해제된 메모리를 그대로 읽거나 쓰는 상태가 만들어진다. 보안 업계 용어로 UAF(Use-After-Free)라 부르는 클래식 커널 결함이다.
문제는 이 결함이 앱 권한만으로 촉발된다는 점이다. LucidBit이 시연한 프리미티브 세 가지 가운데 첫 번째는 커널 메모리 4바이트를 그대로 읽어 오는 것이었다. 이것만으로도 삼성이 커널 주소를 랜덤화해서 방어해 온 KASLR이 무력화된다. 두 번째와 세 번째로 이어지는 사슬은 이론적으로 완전 장치 장악까지 이어질 수 있다.
Knox가 그 위에 얹은 상위 방어 KCFI(Kernel Control Flow Integrity), 즉 커널이 함수를 호출할 때 그 경로가 원래 승인된 흐름인지 검증해 익스플로잇 사슬을 중간에 끊는 장치가 세 번째 단계를 막고 있어 실전 원격 코드 실행 시연은 이뤄지지 않았다. 그러나 8년 동안 이 조건이 커널 안에 그대로 있었다는 사실이 더 무겁다. 방어의 마지막 층 하나가 무너지면 그 아래는 이미 뚫려 있었다는 뜻이기 때문이다.
피해와 결과: 5개월의 침묵, 한 매체의 스트레이트
취약점을 신고받은 벤더가 패치가 사용자에게 충분히 배포될 때까지 기술 상세를 봉인하는 것은 업계 표준 관행이다. 삼성은 2026년 1월 SMR-JAN-2026 Release 1로 이 취약점을 닫으며 공식 게시판에 짧은 요약만 남겼다. "SMR Jan-2026 Release 1 이전 PROCA 드라이버의 Use After Free는 로컬 공격자가 임의 코드를 실행할 수 있게 한다." LucidBit도 같은 관행에 맞춰 6월 22일까지 원문 공개를 미뤘다.
문제는 그 뒤 5개월 동안 이 결함이 있었다는 사실 자체가 사용자에게 알려지지 않았다는 점이다. 관행상 벤더의 짧은 요약과 리서처의 침묵 사이, 그 공백을 채우는 것은 각국 사이버 당국과 미디어의 몫이다. SecurityWeek·Security Affairs·SC Media가 6월 23~24일 이 사실을 다뤘고, 인도 CERT-In이 6월 25일 긴급 사용자 권고를 냈다.
한국은 어떻게 반응했는가. 파이낸셜뉴스가 6월 25일 오후 1시 34분, 인도 CERT-In 발표를 스트레이트로 번역해 실었다. 그것으로 끝이다. 국내 매체 가운데 CVE 번호를 노출한 곳도, LucidBit 리서처 이름을 밝힌 곳도, KISA·KrCERT의 국내 대응 부재를 지적한 곳도 없다. 갤럭시가 국내 스마트폰 시장의 절대 다수를 차지한다는 사실을 고려하면, 인도 정부가 자국 사용자에게 알린 정보량이 한국 사용자에게 도달한 정보량보다 많다는 결과가 남는다.
왜 이 사건이 중요한가
첫째, 방어 컴포넌트가 공격 표면이 된다. Knox 자체가 아니라 Knox가 얹은 방어 코드 한 조각이 그 커널 전체를 여는 열쇠가 될 수 있다는 사실은 이 사건 전에도 원칙적으로 알려져 있었다. 이번 CVE는 그 원칙이 삼성 최고급 브랜드 안에서 8년 동안 실제로 성립해 왔음을 보였다.
둘째, 패치는 배포됐지만 도달률이 문제다. 갤럭시 사용자가 안드로이드 보안 패치 수준이 2026년 1월 1일 이상인지 확인하려면 설정에서 "휴대전화 정보 · 소프트웨어 정보 · Android 보안 업데이트"를 눌러야 한다. 국내 이동통신사·제조사 지연을 거치고 나면, 6월 시점에도 이 값이 2025년 말 상태로 남아 있는 기기가 상당수다. 인도 CERT-In이 권고를 낸 것도 바로 이 도달률 격차 때문이다.
셋째, 국내 규제·미디어 대응의 공백이 드러났다. Knox는 삼성이 국가 기관·군·기업 시장에서 브랜드 신뢰의 축으로 써 온 자산이다. KISA·개인정보위 어느 곳도 6월 25일부터 지금까지 이 사건에 대한 공식 알림이나 권고를 내지 않았다. 인도 CERT-In이 자국 사용자에게 알린 정보를 한국 사용자는 파이낸셜뉴스 한 건짜리 스트레이트 뉴스로만 접했다.
넷째, "방패 브랜드가 CVE로 돌아오는 사건"은 앞으로 늘어난다. Apple Secure Enclave·Google Titan M·Qualcomm TrustZone 등 하드웨어·커널 보안 모듈은 그 자체가 신뢰 앵커라는 이유로 공격자에게 가장 값비싼 표적이다. 그 안에 몇 년 동안 잠복한 결함이 하나씩 표면화되는 시기가 시작됐고, PROCA는 그 목록의 최신 이름이다.
문 옆에 8년 동안 걸려 있던 열쇠는 이제 이름표를 얻었다. 이름표의 이름은 요새의 이름과 같은 계통이다.