[보안뉴스 김형근 기자] 미국 사이버보안 및 인프라 보안국(CISA)이 삼성 모바일 기기의 특정 취약점(CVE-2025-21042)을 ‘악용 중인 알려진 취약점’(KEV) 목록에 추가했다고 밝혔다.

이 취약점은 ‘libimagecodec.quram.so’라는 이미지 처리 라이브러리의 범위 밖 쓰기(out-of-bounds write) 결함이다. 공격자가 이를 이용해 임의 코드를 실행할 수 있게 한다.

삼성은 이 문제를 4월 보안 업데이트를 통해 패치했다. 이 취약점은 지난해 9월 보고됐지만 삼성은 6개월 이상 지난 4월에야 패치했다. 이 기간 동안 공격자들은 이를 제로데이 취약점으로 악용한 것이다.

CISA가 이 취약점을 현재 공격자들이 활발하게 사용하고 있는 제로데이 취약점으로 보고 KEV에 등록함에 따라 미국 연방 정부 모든 기관은 정해진 기한 내에 패치를 수행해야 한다.


‘랜드폴’ 스파이웨어의 제로데이 악용
보안 기업 팔로알토네트웍스의 유닛42 연구팀은 최근 보고서를 통해 ‘랜드폴’(LANDFALL)이라 명명한 새로운 상업용 스파이웨어가 이 취약점을 제로데이 공격에 악용해 왔음을 밝혔다.

랜드폴은 왓츠앱 메시지 플랫폼을 통해 전송되는 악성 이미지 파일을 매개로 기기에 침투한다. 이 스파이웨어는 적어도 2024년 중반부터 유포됐으며 주로 중동 지역의 삼성전자 갤럭시 스마트폰들을 노려왔다.

민간 부문 공격 주체(PSOA) 연루 가능성
랜드폴 스파이웨어는 기기의 마이크 접근, 위치 추적, 사진 수집, 통화 기록 모니터링 등 광범위한 개인 정보를 수집할 수 있어 종합적 감시가 가능하다.

유닛42는 이 스파이웨어 캠페인이 중동 지역 상업용 스파이웨어 작전과 인프라 및 기술 패턴을 공유한다고 분석했다.

이는 민간 부문 공격 주체(PSOA)와 같은 상업적 해킹 그룹이 연루됐을 가능성을 시사한다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>