왓츠앱, iOS·macOS 대상 ‘제로 클릭’ 취약점 스파이웨어 공격에 악용

메타(Meta) 산하 메신저 앱 왓츠앱이 애플 iOS와 macOS 기기에서 발견된 ‘제로 클릭(Zero-Click)’ 취약점을 긴급히 수정하는 보안 업데이트를 배포했다. 이번 취약점은 실제 공격에 악용된 정황이 있으며, 최근 애플이 공개한 제로데이 취약점과 연계돼 특정 인물을 겨냥한 고도화된 스파이웨어 공격에 활용된 것으로 분석된다.

이번 문제는 CVE-2025-55177로 분류됐으며, CVSS 점수 8.0으로 평가됐다. 왓츠앱 자체 보안팀이 발견한 이번 취약점은 연결된 기기 간 동기화 메시지 처리 과정에서 권한 검증이 충분히 이뤄지지 않아 발생했다. 이를 통해 공격자는 피해자의 기기에서 임의의 URL 콘텐츠를 처리하도록 강제할 수 있었다. 다시 말해, 사용자가 아무런 동작을 하지 않아도 외부 명령이 기기 내부에서 실행될 수 있는 구조다.

이번 취약점의 영향을 받는 버전은 ▲왓츠앱 iOS 2.25.21.73 이전 버전 ▲왓츠앱 비즈니스 iOS 2.25.21.78 이전 버전 ▲왓츠앱 맥(Mac) 2.25.21.78 이전 버전이다. 해당 사용자들은 즉시 최신 버전으로 업데이트해야 한다.

특히 이 취약점은 애플이 지난주 공개한 CVE-2025-43300과 연계돼 악용됐을 가능성이 지적된다. CVE-2025-43300은 iOS, iPadOS, macOS에 영향을 미치는 이미지 처리 프레임워크(ImageIO)의 메모리 오버플로우 취약점으로, 악성 이미지 파일을 열 때 메모리 손상이 발생해 공격자가 임의 코드를 실행할 수 있는 문제다. 애플은 이를 “매우 정교한 공격”에서 실제로 무기화된 사례가 확인됐다고 밝혔다.

국제인권단체 앰네스티 인터내셔널(Amnesty International) 보안연구소장 돈카 오케르바일(Donncha Ó Cearbhaill)은 이번 사건과 관련해 “왓츠앱은 최근 90일 동안 해당 취약점을 악용한 첨단 스파이웨어 공격에 특정 인물이 노출됐음을 확인하고 일부 사용자에게 경고를 발송했다”고 밝혔다. 경고 메시지에는 기기의 ‘공장 초기화(factory reset)’를 수행하고, 운영체제와 왓츠앱을 항상 최신 상태로 유지하라는 권고가 포함됐다. 현재까지 어떤 조직 또는 스파이웨어 업체가 공격 배후에 있는지는 확인되지 않았다.

오케르바일은 이번 취약점과 공격 방식이 사용자의 행위 없이도 기기를 감염시킬 수 있는 ‘제로 클릭’ 공격이라고 지적했다. 그는 “왓츠앱 공격은 아이폰뿐 아니라 일부 안드로이드 사용자에게도 영향을 미치는 것으로 보인다”며 “정부 차원의 스파이웨어는 여전히 언론인과 인권운동가 등 시민 사회에 심각한 위협을 가하고 있다”고 경고했다.

제로 클릭 공격은 문자 메시지, 이메일, 메신저 앱 등을 통해 악성 코드가 전송되지만 사용자가 클릭이나 열람을 하지 않아도 자동으로 기기에 침투할 수 있다는 점에서 특히 치명적이다. 이러한 공격은 탐지와 차단이 매우 어렵고, 피해자는 감염 사실을 오랫동안 인지하지 못할 수 있다. 실제로 과거 페가수스(Pegasus)와 같은 스파이웨어 사례에서도 제로 클릭 방식이 활용돼 글로벌 사회적 파장을 일으킨 바 있다.

이번 사안은 왓츠앱뿐 아니라 전체 모바일 생태계가 직면한 구조적 위협을 다시 드러냈다. 애플과 같은 플랫폼 사업자가 운영체제 차원의 보안 강화를 추진하고 있음에도 불구하고, 제로데이 취약점이 꾸준히 발견돼 특정 개인이나 단체를 겨냥한 공격에 활용되고 있다. 보안 전문가들은 “공급망 차원에서 취약점이 발견되는 즉시 신속히 패치하는 것은 물론, 사용자 스스로도 정기적인 업데이트와 기기 보안 점검을 생활화해야 한다”고 강조한다.

메타와 애플의 빠른 대응은 긍정적이지만, 이번 사례는 고급 스파이웨어가 여전히 전 세계 시민 사회를 위협하고 있음을 보여준다. 언론인, 인권운동가, 정부 비판 인사들이 주요 타깃이 될 수 있는 만큼, 각국 정부와 기술 기업은 보다 적극적인 보안 협력 체계를 구축해야 한다는 목소리가 커지고 있다.

결국 이번 사건은 “업데이트는 곧 생존”이라는 원칙을 다시 확인시켜 준다. 모든 사용자는 즉각 최신 버전으로 기기와 앱을 유지해야 하며, 보안 위협이 점점 더 정교해지는 현실에서 개인과 사회 차원의 경각심이 그 어느 때보다 절실하다.

Related Materials

• 애플, 2022년의 첫 번째 제로데이 취약점 2개 패치해, 2022년
• Apple,iOS,iPadOS,macOS에서 타깃형 공격에 악용되는 제로데이 취약점들, 2025년
• [정보] 애플 끝판왕 취약점 Airborne 공개(0-Click, RCE, CVE-2025), 2025년
• 한국인터넷진흥원_주요정보통신기반시설_기술적_취약점, 2025년
• CVE-2022-1040 감지: DriftingCloud APT 그룹이 Sophos Firewall의 RCE 취약점 악용 시도, 2025년

맥OS의 안전 장치 우회해 민감 데이터 유출 가능

💡Editor’s Pick - 맥OS 세쿼이아 사용자, 15.4 이상 버전으로 업데이트 필요 - TCC라는 보안 장치 우회 가능성 발견돼 - 아이클라우드에까지 영향 줄 수 있는 취약점 맥OS의 TCC에서 데이터 유출 취약점이 발견됐다. MS의 연구원들이 발견해 제보한 것으로, 현재는 해결된 상태다. 아직까지는 이 취약점으로 인한 피해 상황은 보고되지 않고 있지만, 원래

The Tech Edge문가용 기자

취약점 PoC, 공개해야 하나 말아야 하나

💡Editor’s Pick - 파일 전송 솔루션 윙FTP서버에서 10점짜리 취약점 발견됨 - 이 취약점 익스플로잇 하면 원격에서 서버 통째로 장악 가능 - 잠잠했다가 PoC 공개된 이후부터 익스플로잇 시도 극성 파일 전송 기술인 윙FTP서버(Wing FTP Server)에서 초고위험도 취약점이 발견됐다. CVE-2025-47812로, CVSS 기준 10점 만점에 10점을 받았다. 익스플로잇에 성공할 경우 공격자는

The Tech Edge문가용 기자