[보안뉴스 김형근 기자] 미국 사이버보안 및 인프라 보안국(CISA)이 삼성 모바일 기기의 특정 취약점(CVE-2025-21042)을 ‘악용 중인 알려진 취약점’(KEV) 목록에 추가했다고 밝혔다.

이 취약점은 ‘libimagecodec.quram.so’라는 이미지 처리 라이브러리의 범위 밖 쓰기(out-of-bounds write) 결함이다. 공격자가 이를 이용해 임의 코드를 실행할 수 있게 한다.

삼성은 이 문제를 4월 보안 업데이트를 통해 패치했다. 이 취약점은 지난해 9월 보고됐지만 삼성은 6개월 이상 지난 4월에야 패치했다. 이 기간 동안 공격자들은 이를 제로데이 취약점으로 악용한 것이다.

CISA가 이 취약점을 현재 공격자들이 활발하게 사용하고 있는 제로데이 취약점으로 보고 KEV에 등록함에 따라 미국 연방 정부 모든 기관은 정해진 기한 내에 패치를 수행해야 한다.


[자료: CISA]

‘랜드폴’ 스파이웨어의 제로데이 악용
보안 기업 팔로알토네트웍스의 유닛42 연구팀은 최근 보고서를 통해 ‘랜드폴’(LANDFALL)이라 명명한 새로운 상업용 스파이웨어가 이 취약점을 제로데이 공격에 악용해 왔음을 밝혔다.

랜드폴은 왓츠앱 메시지 플랫폼을 통해 전송되는 악성 이미지 파일을 매개로 기기에 침투한다. 이 스파이웨어는 적어도 2024년 중반부터 유포됐으며 주로 중동 지역의 삼성전자 갤럭시 스마트폰들을 노려왔다.

민간 부문 공격 주체(PSOA) 연루 가능성
랜드폴 스파이웨어는 기기의 마이크 접근, 위치 추적, 사진 수집, 통화 기록 모니터링 등 광범위한 개인 정보를 수집할 수 있어 종합적 감시가 가능하다.

유닛42는 이 스파이웨어 캠페인이 중동 지역 상업용 스파이웨어 작전과 인프라 및 기술 패턴을 공유한다고 분석했다.

이는 민간 부문 공격 주체(PSOA)와 같은 상업적 해킹 그룹이 연루됐을 가능성을 시사한다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>