[디지털데일리 김문기 기자] 삼성전자의 갤럭시 스마트폰을 노린 상업용 스파이웨어 공격이 뒤늦게 확인됐다.

지난 7일(현지시간) 팔로알토네트웍스 산하 유닛42(Unit 42) 분석에 따르면, 공격자는 삼성 이미지 처리 라이브러리의 제로데이 취약점 CVE-2025-21042를 이용해 안드로이드용 스파이웨어 ‘랜드폴(Landfall)’을 배포한 것으로 나타났다. 삼성은 지난 4월 보안 업데이트를 통해 해당 취약점을 수정한 것으로 알려졌다.

이번 공격은 DNG(Digital Negative) 포맷 이미지 파일을 악용한 것이 특징이다. 공격자는 왓츠앱(WhatsApp)을 통해 정상 사진으로 위장한 악성 이미지를 전송했고, 사용자가 파일을 열지 않아도 감염될 수 있는 제로클릭 형태로 추정된다.

이미지 내부에는 압축 파일이 숨겨져 있었으며, 이 안에서 로더(b.so)와 SELinux 정책을 조작하는 모듈(l.so)이 추출됐다. 로더 내부에는 ‘브리지 헤드(Bridge Head)’라는 명칭이 사용됐는데, 이는 상업용 스파이웨어 로더에서 흔히 쓰이는 이름이다.

랜드폴은 감염된 기기에서 음성 녹음, 통화 및 메시지 탈취, 위치 추적, 연락처와 사진 접근 등 광범위한 정보 수집이 가능하다. 디버거 탐지와 프리다(Frida), 엑스포즈(Xposed) 회피, 인증서 고정 등 다양한 방어 회피 기능도 포함됐다. 통신은 HTTPS 기반으로 이뤄졌다.

공격 대상은 갤럭시S22, 갤럭시S23, 갤럭시S24 시리즈와 갤럭시Z 폴드4, 갤럭시Z 플립4 등 주요 플래그십 모델로 확인됐다. 악성 샘플은 모로코, 이란, 이라크, 터키 등에서 바이러스 토털(VirusTotal)에 업로드된 정황이 포착돼 표적은 중동 지역 개인 혹은 정부 인사로 추정되고 있다.

취약점은 삼성의 이미지 처리 라이브러리 libimagecodec.quram.so 내에서 발생했다. 삼성은 4월 CVE-2025-21042를 패치했고, 9월에는 같은 계열의 DNG 처리 취약점 CVE-2025-21043을 추가로 수정했다. 유닛42는 랜드폴이 후자의 취약점을 이용한 증거는 발견하지 못했다고 밝혔다.

보고서에 따르면 랜드폴은 삼성 갤럭시 기기를 정밀하게 겨냥한 상업용 스파이웨어라며 로더 분석 결과 상업용 수준의 정교한 공격 체계가 확인됐다고 설명했다.