[뉴스스페이스=김정영 기자] Palo Alto Networks의 사이버보안 연구팀 Unit 42는 삼성전자 갤럭시 스마트폰의 이전에 알려지지 않은 제로데이 취약점(CVE-2025-21042)을 악용해 약 1년간 중동 지역의 특정 개인들을 대상으로 정교한 안드로이드 스파이웨어 'Landfall'을 배포한 사실을 공개했다.

Palo Alto Networks Unit 42, TechCrunch, Security Affairs, The Register에 따르면, 이 스파이웨어는 2024년 7월부터 활동했으며, 삼성전자는 해당 취약점에 대한 보안 패치를 2025년 4월에야 배포했다.​

Landfall은 삼성전자 안드로이드 이미지 처리 라이브러리의 취약점을 통해 악성 DNG 이미지 파일을 WhatsApp 등의 메시징 앱으로 전송하는 제로클릭 공격 방식을 사용했다. 사용자의 어떠한 조작 없이도 감염을 일으키는 이 공격은 표적형 스파이 활동의 특징을 갖고 있으며, 이란, 이라크, 터키, 모로코 등 중동과 북아프리카 일대에서 피해자가 확인됐다.​

설치된 Landfall 스파이웨어는 마이크 녹음, 위치 추적, 사진·메시지·연락처·통화 기록 탈취 등 광범위한 정보 수집 능력을 갖추었고, 안드로이드의 SELinux 보안 정책 조작과 디버깅 툴 탐지를 포함한 높은 수준의 은폐 및 회피 기능도 탑재돼 있었다. 이 같은 특징은 상업용 고급 스파이웨어의 전형적인 표식으로 평가된다.​

Unit 42 연구진은 Landfall 스파이웨어가 과거 2012년부터 아랍에미리트(UAE) 정부와 연관된 것으로 의심받아온 Stealth Falcon 감시 그룹에서 사용하는 인프라와 도메인 등록 패턴에서 유사성을 발견했으나, 명확한 정부 소속 여부 판단에는 추가 증거가 필요하다고 밝혔다. Stealth Falcon은 언론인, 활동가, 반체제 인사를 대상으로 지속적인 표적 공격을 해 온 알려진 사이버 감시 집단이다.​

또한 이번 캠페인은 올해 8월 공개된 iOS 및 WhatsApp 제로데이 익스플로잇과 유사한 공격 체인을 사용해 특정 희생자만을 겨냥한 정밀 공격이라는 점에서, 모바일 플랫폼 전반에서 DNG 이미지 처리 취약점을 이용한 스파이웨어 공격이 계속해서 심화되고 있음을 보여준다.​

한편 삼성전자는 2024년 9월 해당 취약점을 비공개 보고 받은 뒤 2025년 4월에야 보안 패치를 배포했다. 지난해 2월 출시된 최신 갤럭시 S25 시리즈는 이번 취약점의 영향을 받지 않았다.​

보안전문가는 "이번 Landfall 스파이웨어 사건은 삼성전자 갤럭시 기기 사용자들뿐 아니라 전 세계 모바일 사용자들에게 고도화되는 모바일 위협 환경을 경고하는 사례"라며 "보안 업데이트의 신속한 적용과 보안 인식 강화가 긴요함을 다시 한번 일깨우고 있다"고 지적했다.