삼성전자 및 구글 최신 안드로이드 휴대폰 모두 공격 가능

[보안뉴스 김형근 기자] 안드로이드 스마트폰 화면에 뜨는 픽셀을 읽어 OTP 번호 등 민감 정보를 가로채는 공격 기법이 나왔다.

캘리포니아주립 버클리대학과 워싱턴대학, 카네기멜론대학 등 공동 연구팀은 안드로이드 API와 휴대폰 그래픽처리장치(GPU) 취약점 등을 이용해 스마트폰 화면에 나타나는 이중 인증 코드 등 민감 정보를 파악할 수 있는 ‘픽스내핑’(pixnapping) 공격 기법을 제시했다.

삼성전자 갤럭시S25나 구글 픽셀9 등 최신 스마트폰에서 구글OTP 앱에 뜨는 이중 인증 정보를 30초 안에 가로챌 수 있었다.


[자료: 게티이미지뱅크]

이 연구는 최근 대만에서 열린 ‘ACM 컴퓨터 및 통신 보안(CCS) 2025’ 행사에서 발표됐다.

연구진이 제시한 방법에 따르면, 휴대폰에 설치된 악성 앱은 안드로이드의 ‘인텐트’(intent) 기능을 이용해 구글OTP나 지메일 등 목표 앱을 작동시킨다. 인텐트란 한 앱이 다른 앱을 여는 등 앱 사이에 작업을 요청하는 기능이다.

이어 눈에 거의 보이지 않는 투명한 레이어를 여러 겹 화면에 띄우고 마스킹 기법으로 특정 픽셀을 고립시킨다. 이렇게 만들어진 오버레이들은 여러 앱에서 정보를 끌어와 한 화면에서 모아 보여주는 안드로이드 ‘서피스플링어’(SurfaceFlinger) 기능을 통해 ‘블러’ 효과를 적용한다.

이때 ‘GPU.zip’으로 알려진 GPU 데이터 압축 방식으로 인해 픽셀 색상에 따른 렌더링 시간 차이가 생겨 픽셀 정보를 확인할 수 있게 된다.


▲픽스내핑 공격 개요도 [자료: 카네기멜론대학]

악성 앱이 일종의 화면 캡처를 수행해 화면에 나타나는 민감 정보를 사용자 모르게 빼돌릴 수 있는 것이다. 연구진은 구글 산스(Sans) 폰트 한 글자에 4개 픽셀만 겨냥해 이중 인증 코드를 만료 시간 전에 구축할 수 있었다.

구글OPT 외에도 메신저 앱 시그널, 송금 앱 벤모, 지메일 등에서도 이런 방식으로 정보를 빼낼 수 있었다.

안드로이드 앱 거의 전부가 인텐트 관련 기능을 쓰고 있어 픽스내핑 위협에 노출된 상태라 할 수 있다.

연구진은 연구 결과를 구글과 삼성전자에 통보했다. 구글은 이 취약점의 위험성이 높다고 판단, ‘CVE-2025-48561’로 분류하고 보안 패치를 완료했다. 삼성전자는 실행이 복잡하다는 점 때문에 위험성이 낮은 위협으로 판단했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>