삼성, 안드로이드 장비 내 제로데이 취약점 패치
- 삼성 안드로이드 장비 내 이미지 라이브러리의 취약점
- 제로데이 공격 통해 임의 코드 실행 가능
- 스테이지프라이트 생각나게 하나, 그 정도 규모는 아냐
삼성이 자사 안드로이드 기반 제품에서 발견된 제로데이 취약점을 패치했다. 이는 CVE-2025-21043으로, CVSS 기준 8.8점짜리 고위험군 취약점이다. 임의 코드 실행 공격으로 이어질 수 있는 ‘아웃 오브 바운드 라이트(out-of-bounds write)’ 문제로 분석됐다. 안전해지려면 삼성 장비의 펌웨어 업데이트를 진행해야 한다.
보안 권고문을 통해 삼성은 “해당 취약점은 libimagecodec.quram.so에서 발견됐다”고 밝히며 “2025년 9월 릴리즈 1(Release 1) 버전을 통해 해결했다”고 알렸다. 삼성이 말하는 libimagecodec.quram.so는 쿠람소프트(Quramsoft)에서 개발한 이미지 검사 및 처리 라이브러리로, 여러 이미지 포맷을 지원한다.
문제의 취약점은 안드로이드 13부터 16버전에까지 영향을 미치는 것으로 알려져 있다. 지난 8월 익명의 인물이 삼성 측에 은밀히 제보하면서 삼성은 문제를 인지하게 됐다. 하지만 일부에서는 제보자가 메타(Meta)였다는 보도도 나오고 있다. 삼성은 “실제 공격용 익스플로잇이 공개돼 있다”고까지는 인정했지만 실제 어떤 공격이 어떤 식으로 이뤄지고 있는지, 어떤 피해가 발생해 왔는지는 정확히 공개하지 않았다.
어떤 문제 있었나?
삼성이 여러 가지 이유로 확실하게 공개하지 않아 불투명하지만, 일부 외신에 따르면 “삼성 안드로이드 장비를 사용해 왓츠앱을 이용하는 사람들이 위험할 수 있다”고 한다. 하지만 왓츠앱 외 메신저 앱이라 하더라도 libimagecodec.quram.so를 활용하도록 설계돼 있다면 마찬가지로 위험할 수 있다는 게 전문가들의 의견이다.
삼성이 자세히 밝히지 않았지만 왓츠앱 메신저 내 이미지 처리 라이브러리가 문제가 되었다는 걸로 미루어, 공격자가 왓츠앱 상에서 피해자에게 이미지 파일을 전송하는 것으로 공격이 시작됐을 가능성이 높아 보인다. 하지만 피해 사례가 드러난 바는 아직 없어, 제로클릭 공격이 가능한지는 확실하지 않다. 제로클릭 공격은 보낸 이미지를 수신자가 받기만 해도 악성코드에 감염되는 것을 말한다. 제로클릭이 아니라면 이미지를 받은 후 클릭해 열어보는 등의 행동을 해야만 공격이 성립한다.
문제는 삼성 장비가 아니라 삼성이 만들지도 않은 라이브러리에서 발견됐는데 삼성은 어떻게 패치를 적용한 걸까? 실제 패치는 라이브러리의 개발사인 쿠람소프트에서 개발해 배포했다. 삼성은 이 패치를 받아 자사 장비에 설치될 수 있도록 재배포 한 것이다. 여러 소프트웨어나 솔루션, 라이브러리를 모으고 합해서 장비를 제조하는 회사라면 원래 소프트웨어, 솔루션, 라이브러리가 패치될 때 부지런히 날라야 하는 책임이 있다.
왓츠앱, 인기 공격 플랫폼
한국에 카카오톡이 있다면, 세계에는 왓츠앱이 있다고 해도 무방할 정도로 왓츠앱은 널리 사용되는 메신저 앱이다. 그렇기 때문에 공격자들이 항상 해킹의 방법을 찾아 헤맨다. 하지만 대부분은 왓츠앱 자체 취약점을 찾아내는 게 아니라, 사용자의 허술함을 공략하는 것으로 귀결된다. 피싱 ‘이메일’ 대신 피싱 ‘메시지’로 피해자들을 속이는 것이다.
지난 8월 말에는 왓츠앱과 애플 장비의 취약점들을 연쇄적으로 익스플로잇 하는 공격 캠페인이 발견됐다. 국제사면위원회의 연구원들이 찾아낸 것으로, 공격자들은 왓츠앱에서 활동하는 한 시민 단체의 회원 200여 명을 염탐하고 있었다고 한다. 참고로 왓츠앱은 종단간 암호화를 지원하는 ‘안전한 앱’이라는 인식 때문에 숨어서 은밀히 활동해야 하는 사람들이 즐겨 사용하며, 그런 사람들을 노리는 감시 및 추적 활동 역시 꾸준히 이어진다.
이 방면의 최고는 스테이지프라이트(Stagefright)
2015년, 안드로이드 생태계 전체에 충격을 준 취약점들이 처음 등장했다. 모두 합해 스테이지프라이트라고 불리는 취약점들로, CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829, CVE-2015-3864이었다. 안드로이드의 미디어 재생 라이브러리인 libstagefright에 존재했으며, MMS(멀티미디어 메시지)나 행아웃, 왓츠앱 등을 통해 동영상이나 오디오 파일을 보내는 방식으로 익스플로잇이 가능했다.
제로클릭 공격을 가능케 하는 취약점이었기 때문에 수신자가 파일을 받는 것만으로도 감염됐다. 익스플로잇에 성공한 공격자(즉 피해자 감염에 성공한 공격자)는 원격 코드 실행을 통해 권한을 상승시키고 결국 피해자의 장비를 장악할 수도 있었다. 안드로이드 2.2부터 5.1까지 영향을 미쳤으며, 당시 모든 안드로이드 장비의 95%가 위험에 노출됐었다. 이는 9억 5천만 대에 달하는 숫자였다.
Related Materials
- Samsung patches actively exploited zero-day reported by WhatsApp - BleepingComputer , 2025년
- Samsung Fixes Critical Zero-Day CVE-2025-21043 Enables Remote Code Execution - TheHackerNews , 2025년
- Samsung fixed actively exploited zero-day CVE-2025-21043 affecting Android Devices - SecurityAffairs , 2025년
- Critical Zero-Day Vulnerability in Samsung Mobile Processors (CVE-2024-44068) Analysis and Mitigation Guide - Difenda , 2024년
문가용 기자
문가용 기자
![[TE머묾] 헝가리 통해 보는 보안 배척 레퍼토리](https://images.unsplash.com/photo-1590520477800-3907c51f094b?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDR8fCVFRCU5NSU5OCVFRCU5MiU4OHxlbnwwfHx8fDE3Nzg1NjYxMjR8MA&ixlib=rb-4.1.0&q=80&w=600)