삼성, 안드로이드 장비 내 제로데이 취약점 패치

삼성이 자사 안드로이드 기반 제품에서 발견된 제로데이 취약점을 패치했다. 이는 CVE-2025-21043으로, CVSS 기준 8.8점짜리 고위험군 취약점이다. 임의 코드 실행 공격으로 이어질 수 있는 ‘아웃 오브 바운드 라이트(out-of-bounds write)’ 문제로 분석됐다. 안전해지려면 삼성 장비의 펌웨어 업데이트를 진행해야 한다.

보안 권고문을 통해 삼성은 “해당 취약점은 libimagecodec.quram.so에서 발견됐다”고 밝히며 “2025년 9월 릴리즈 1(Release 1) 버전을 통해 해결했다”고 알렸다. 삼성이 말하는 libimagecodec.quram.so는 쿠람소프트(Quramsoft)에서 개발한 이미지 검사 및 처리 라이브러리로, 여러 이미지 포맷을 지원한다. 

문제의 취약점은 안드로이드 13부터 16버전에까지 영향을 미치는 것으로 알려져 있다. 지난 8월 익명의 인물이 삼성 측에 은밀히 제보하면서 삼성은 문제를 인지하게 됐다. 하지만 일부에서는 제보자가 메타(Meta)였다는 보도도 나오고 있다. 삼성은 “실제 공격용 익스플로잇이 공개돼 있다”고까지는 인정했지만 실제 어떤 공격이 어떤 식으로 이뤄지고 있는지, 어떤 피해가 발생해 왔는지는 정확히 공개하지 않았다. 

어떤 문제 있었나?
삼성이 여러 가지 이유로 확실하게 공개하지 않아 불투명하지만, 일부 외신에 따르면 “삼성 안드로이드 장비를 사용해 왓츠앱을 이용하는 사람들이 위험할 수 있다”고 한다. 하지만 왓츠앱 외 메신저 앱이라 하더라도 libimagecodec.quram.so를 활용하도록 설계돼 있다면 마찬가지로 위험할 수 있다는 게 전문가들의 의견이다.

삼성이 자세히 밝히지 않았지만 왓츠앱 메신저 내 이미지 처리 라이브러리가 문제가 되었다는 걸로 미루어, 공격자가 왓츠앱 상에서 피해자에게 이미지 파일을 전송하는 것으로 공격이 시작됐을 가능성이 높아 보인다. 하지만 피해 사례가 드러난 바는 아직 없어, 제로클릭 공격이 가능한지는 확실하지 않다. 제로클릭 공격은 보낸 이미지를 수신자가 받기만 해도 악성코드에 감염되는 것을 말한다. 제로클릭이 아니라면 이미지를 받은 후 클릭해 열어보는 등의 행동을 해야만 공격이 성립한다.

왓츠앱, 인기 공격 플랫폼
한국에 카카오톡이 있다면, 세계에는 왓츠앱이 있다고 해도 무방할 정도로 왓츠앱은 널리 사용되는 메신저 앱이다. 그렇기 때문에 공격자들이 항상 해킹의 방법을 찾아 헤맨다. 하지만 대부분은 왓츠앱 자체 취약점을 찾아내는 게 아니라, 사용자의 허술함을 공략하는 것으로 귀결된다. 피싱 ‘이메일’ 대신 피싱 ‘메시지’로 피해자들을 속이는 것이다.

지난 8월 말에는 왓츠앱과 애플 장비의 취약점들을 연쇄적으로 익스플로잇 하는 공격 캠페인이 발견됐다. 국제사면위원회의 연구원들이 찾아낸 것으로, 공격자들은 왓츠앱에서 활동하는 한 시민 단체의 회원 200여 명을 염탐하고 있었다고 한다. 참고로 왓츠앱은 종단간 암호화를 지원하는 ‘안전한 앱’이라는 인식 때문에 숨어서 은밀히 활동해야 하는 사람들이 즐겨 사용하며, 그런 사람들을 노리는 감시 및 추적 활동 역시 꾸준히 이어진다. 

이 방면의 최고는 스테이지프라이트(Stagefright)
2015년, 안드로이드 생태계 전체에 충격을 준 취약점들이 처음 등장했다. 모두 합해 스테이지프라이트라고 불리는 취약점들로, CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829, CVE-2015-3864이었다. 안드로이드의 미디어 재생 라이브러리인 libstagefright에 존재했으며, MMS(멀티미디어 메시지)나 행아웃, 왓츠앱 등을 통해 동영상이나 오디오 파일을 보내는 방식으로 익스플로잇이 가능했다.

제로클릭 공격을 가능케 하는 취약점이었기 때문에 수신자가 파일을 받는 것만으로도 감염됐다. 익스플로잇에 성공한 공격자(즉 피해자 감염에 성공한 공격자)는 원격 코드 실행을 통해 권한을 상승시키고 결국 피해자의 장비를 장악할 수도 있었다. 안드로이드 2.2부터 5.1까지 영향을 미쳤으며, 당시 모든 안드로이드 장비의 95%가 위험에 노출됐었다. 이는 9억 5천만 대에 달하는 숫자였다.

Related Materials

• Samsung patches actively exploited zero-day reported by WhatsApp - BleepingComputer , 2025년
• Samsung Fixes Critical Zero-Day CVE-2025-21043 Enables Remote Code Execution - TheHackerNews , 2025년
• Samsung fixed actively exploited zero-day CVE-2025-21043 affecting Android Devices - SecurityAffairs , 2025년
• Critical Zero-Day Vulnerability in Samsung Mobile Processors (CVE-2024-44068) Analysis and Mitigation Guide - Difenda , 2024년

윈라 유틸리티 제로데이 취약점, 벌써 두 개 조직이 노려

💡Editor’s Pick - 유명 파일 압축 프로그램...여러 모로 인기 높아 - 최근 발견된 경로 조작 제로데이 취약점, 롬콤이 악용 - 롬콤과 며칠 차이로 페이퍼웨어울프도 공격 시작 사이버 공격자들이 인기 파일 압축 유틸리티인 윈라(WinRAR)에서 제로데이 취약점을 발견해 익스플로잇 하고 있다고 보안 업체 이셋(ESET)이 경고했다. 문제의 취약점은

The Tech Edge문가용 기자

소닉월 방화벽에 제로데이 있나? 아키라 확산 중

💡Editor’s Pick - 소닉월 방화벽 통해 아키라 빠르게 퍼져 - 공격 속도와 규모 봤을 때 제로데이 의심 - 소닉월 측에서는 아직 공격 경로 파악 못해 소닉월(SonicWall) 방화벽을 겨냥한 익스플로잇 행위가 활발해지고 있다는 경고가 나왔다. 소닉월 측에서도 사용자들에게 7세대 방화벽 제품의 암호화 서비스인 SSL VPN을 비활성화 하라는 권고를 내보내고 있다.

The Tech Edge문가용 기자