갤럭시 S22 Ultra 공장 초기화 후 벽돌 — 정체불명 'Numero LLC'가 내 폰을 점거했다

"갤럭시 S22 울트라를 공장 초기화했더니 'Numero LLC'라는 정체불명의 회사가 폰을 점거해 사용 불가 상태가 됐다는 피해 사례가 잇따르고 있습니다."

갤럭시 S22 울트라 Knox 해킹 공장초기화 Numero LLC 벽돌 피해 해결 방법

 

 

갤럭시 S22 울트라를 공장 초기화했더니 'Numero LLC'라는 정체불명의 회사가 폰을 점거해 사용 불가 상태가 됐다는 피해 사례가 잇따르고 있습니다. 삼성 Knox 보안 시스템을 역이용한 이 공격으로 피해자들은 정상 구매한 폰을 쓸 수 없게 됐고, 삼성 고객지원도 현재로선 해결책을 제시하지 못하고 있습니다.

갤럭시 S22 Ultra 사용자라면 지금 확인하세요

공장 초기화 후 Wi-Fi 연결 시 "This Galaxy S22 Ultra isn't private(이 갤럭시는 비공개가 아닙니다)"라는 메시지가 뜨면서 Numero LLC라는 회사가 기기를 관리한다는 화면이 나타난다면 이 문제에 해당됩니다. 현재 삼성 고객센터 외에 자체 해결 방법이 없습니다.

정확히 무슨 일이 일어나고 있나

갤럭시 S22 울트라 사용자들이 공장 초기화 후 기기 설정을 시작하면 정상적인 구글 계정 로그인 화면 대신 Knox 모바일 등록 화면이 나타납니다. 화면에는 "이 기기는 조직이 관리하며 모든 데이터와 활동이 원격 관리자에게 보입니다"라는 메시지가 표시됩니다.

문제는 피해자들이 어떤 기업 환경에도 소속되지 않은 일반 소비자라는 점입니다. 이들은 삼성 공식 유통 채널을 통해 정상 구매한 제품인데도 "Numero LLC"라는 정체불명의 회사가 관리자로 등록돼 있습니다. 이 회사명은 미국 기업 등록 데이터베이스에서도 확인되지 않습니다.

피해자들은 공장 초기화를 여러 번 반복해도 소용없고, 펌웨어를 수동으로 재설치해도 같은 화면이 반복됩니다. 기기가 인터넷에 연결될 때마다 삼성 서버에 IMEI 번호를 전송하고, 서버가 해당 IMEI를 "기업 기기"로 잘못 등록된 것으로 확인하면 MDM 프로필을 강제 설치하기 때문입니다. 사실상 소프트웨어로 만든 벽돌이 되는 셈입니다.

어떤 증상이 나타나는가

피해자들이 공통으로 보고한 증상

공장 초기화 후 Wi-Fi 연결 시 Knox 모바일 등록 화면 강제 표시

"SAMSUNG ADMIN" 관리자 앱과 "Numero LLC" 회사명 표시

구글 계정 로그인 불가 — 조직 계정 로그인만 허용

공장 초기화 반복, 펌웨어 재설치 모두 무효 — 동일 화면 반복

삼성 고객센터 문의 시 해결책 없음 — 구매 영수증 지참 요청만 안내

기기가 사실상 사용 불가 상태 ("디지털 벽돌")

Knox가 무엇이기에 이런 일이 가능한가

삼성 Knox는 기업용 기기 보안 플랫폼입니다. 회사가 직원들의 스마트폰을 원격으로 관리하고 보안 정책을 적용하기 위해 만들어진 시스템입니다. Knox 모바일 등록(KME)은 IT 관리자가 기업 기기를 한꺼번에 자동 설정할 수 있게 해주는 기능입니다. 기기를 켜면 자동으로 회사 서버에 연결해 보안 설정을 받아오는 구조입니다.

예를 들어 회사가 직원에게 스마트폰 100대를 지급할 때, 일일이 설정하지 않아도 켜는 순간 자동으로 회사 이메일, 보안 정책, 앱 등이 설치됩니다. 대기업이나 공공기관에서 널리 쓰이는 방식입니다. 삼성은 갤럭시 폰의 보안 경쟁력을 높이기 위해 Knox를 꾸준히 발전시켜왔습니다.

문제는 이 시스템이 IMEI 번호를 기준으로 작동한다는 점입니다. IMEI는 스마트폰 고유 식별 번호로 변경이 불가능합니다. 누군가 삼성의 Knox 포털에 특정 기기의 IMEI를 "기업 기기"로 등록해 버리면, 그 폰은 공장 초기화를 해도 서버 차원에서 기업 기기로 인식됩니다. 일반 소비자 폰이라도 예외가 없습니다.

Android Authority 보도에 따르면 공격자들은 두 가지 경로 중 하나를 사용했을 가능성이 있습니다. 첫째는 삼성 공식 리셀러 계정이 해킹돼 해당 계정으로 임의의 IMEI를 Knox 포털에 대량 등록한 경우입니다. 둘째는 KnoxGuard의 취약점인 CVE-2026-20978을 악용해 소유권 확인을 우회하고 기업 관리 설정을 변조한 경우입니다. 어느 쪽이든 삼성 시스템 내부의 허점을 파고든 것입니다.

사건 경과

수개월 전부터

갤럭시 S22 울트라 사용자들이 삼성 커뮤니티에 공장 초기화 후 Knox 화면이 나타난다는 글 게시 시작. "Numero LLC" 회사명 공통 보고.

피해 확산

복수의 피해자 확인. 공통점은 갤럭시 S22 울트라, 공장 초기화 후 발생, 정상 구매 기기. 삼성 고객센터는 해결책 없이 영수증 지참 요청만 안내.

2026년 4월 9~10일

Android Authority, Notebookcheck, Digit 등 복수 글로벌 IT 매체가 일제히 보도. CVE-2026-20978 취약점과의 연관성 제기.

현재

삼성 공식 입장 없음. 피해자들은 삼성 고객센터에 구매 증빙을 제출하고 IMEI 등록 해제를 요청하는 방법 외에는 선택지가 없는 상황.

지금 할 수 있는 해결 방법

피해 발생 시 권장 조치 순서

1

구매 영수증·구매 증빙 확보 — 삼성 공식 구매 확인서, 신용카드 내역 등 기기 구매를 증명할 수 있는 모든 자료를 준비합니다.

2

삼성 고객센터 공식 접수 — 1588-3366(한국) 또는 삼성 공식 서비스 센터 방문. IMEI 번호와 구매 증빙을 함께 제출하고 Knox 등록 해제를 요청합니다.

3

공장 초기화 반복 금지 — 초기화를 반복해도 해결되지 않으며, 오히려 데이터만 추가로 손실됩니다. 삼성 서버의 IMEI 등록 해제가 선행돼야 합니다.

4

삼성 Knox 포털 직접 문의 — 영어 가능 시 knox.samsung.com을 통해 직접 등록 해제 요청 가능. 기업 등록 오류임을 소명해야 합니다.

5

소비자 보호원 신고 고려 — 삼성이 해결을 거부하거나 지연할 경우 한국소비자원(www.kca.go.kr) 또는 공정거래위원회에 신고할 수 있습니다.

왜 S22 울트라만 피해를 입는가

현재까지 보고된 피해는 갤럭시 S22 울트라에 집중돼 있습니다. 이유는 아직 공식적으로 확인되지 않았습니다. 다만 S22 울트라는 2022년 출시된 모델로, 중고 거래가 활발한 시기에 접어들었습니다. 중고 거래 과정에서 공장 초기화가 빈번하게 이루어지는 시점이 이 공격과 겹쳤을 가능성이 있습니다.

또한 Knox 포털에 IMEI를 등록할 수 있는 권한을 가진 리셀러 계정이 해킹됐다면, 해당 리셀러가 S22 울트라를 많이 취급했을 가능성도 있습니다. 이 공격이 S22 울트라만 노린 것인지, 아니면 다른 모델도 잠재적 피해 대상인지는 추가 조사가 필요합니다.

이 사건이 던지는 더 큰 질문

이번 사태는 단순한 해킹 사건을 넘어 스마트폰 보안 구조의 근본적인 문제를 드러냅니다. Knox처럼 강력한 보안 시스템이 역이용될 수 있다는 것이 증명됐습니다. 기업용으로 설계된 MDM 시스템이 일반 소비자 기기에도 동일하게 적용되는 구조가 취약점이 됐습니다.

더 심각한 문제는 피해자가 스스로 해결할 수단이 없다는 점입니다. IMEI는 변경할 수 없고, 공장 초기화는 무효이며, 펌웨어 재설치도 통하지 않습니다. 오로지 삼성 서버 데이터베이스에서 IMEI 등록을 해제해야만 해결되는데, 이 권한은 삼성만 갖고 있습니다. 소비자가 완전히 제조사에 의존할 수밖에 없는 구조입니다.

이런 구조는 앞서 다룬 수리 용이성 문제와도 맥락이 닿아 있습니다. 제조사가 하드웨어 수리뿐 아니라 소프트웨어 권한까지 독점하면서 소비자가 자신의 기기를 완전히 통제하지 못하는 상황이 만들어지고 있습니다. 이번 S22 울트라 사태는 그 구조적 문제가 극단적으로 드러난 사례입니다.

삼성이 이 문제를 어떻게 처리하느냐가 중요합니다. 피해자 개별 대응으로 조용히 넘어갈지, 아니면 Knox 시스템 전체의 보안 취약점을 공식 인정하고 패치를 배포할지가 관건입니다. 후자라면 S22 울트라 외 다른 갤럭시 모델에도 동일한 취약점이 있을 수 있다는 것을 의미하기 때문입니다.

자주 묻는 질문

Q. 내 갤럭시 S22 울트라가 피해 대상인지 어떻게 아나요?

공장 초기화 후 Wi-Fi에 연결했을 때 Knox 모바일 등록 화면이 나타나고 "Numero LLC" 또는 "SAMSUNG ADMIN"이 표시된다면 피해 대상입니다. 현재 정상 사용 중이라면 공장 초기화를 하지 말고 삼성 고객센터에 먼저 문의해 기기 상태를 확인하는 것을 권장합니다.

Q. 개인 정보가 유출된 건가요?

공장 초기화 후 발생하는 문제이므로 초기화 이전 데이터는 이미 삭제된 상태입니다. 다만 초기화 후 기기가 원격 관리 상태로 잠기면서 이후 설정 과정에서 입력하는 정보가 Numero LLC 측에 노출될 가능성은 있습니다. 피해 기기에서 계정 로그인이나 개인정보 입력을 하지 않는 것이 좋습니다.

Q. 삼성은 왜 이 문제를 즉시 해결하지 못하나요?

Knox 시스템은 삼성 서버 차원에서 IMEI를 관리합니다. 잘못 등록된 IMEI를 해제하려면 삼성이 서버 데이터베이스를 직접 수정해야 합니다. 피해 건수가 늘어나면서 개별 처리에 시간이 걸리는 것으로 보입니다. 삼성은 아직 공식 입장이나 일괄 해결책을 발표하지 않았습니다.

중고폰 구매자는 특히 주의해야 한다

이번 사태는 중고 갤럭시 S22 울트라를 구매한 사람들에게 특히 치명적입니다. 중고 거래 시 판매자가 공장 초기화를 해서 넘기는 경우가 많은데, 초기화 직후 Knox 화면이 뜨면서 기기가 잠길 수 있습니다. 중고로 구매했다면 원래 구매자의 영수증이 없기 때문에 삼성 고객센터에서도 피해를 증명하기 어렵습니다.

중고 갤럭시 S22 울트라 구매를 고려 중이라면 현재는 거래를 잠시 보류하는 것을 권장합니다. 삼성이 공식 해결책을 발표하기 전까지는 어떤 기기가 영향을 받는지 알 수 없습니다. 이미 중고로 구매했다면 공장 초기화를 하지 말고 현재 상태를 유지하면서 삼성 고객센터에 IMEI 상태를 먼저 확인하세요.

이번 사태를 계기로 중고 스마트폰 거래 시 IMEI 조회가 더욱 중요해졌습니다. 기존에는 도난폰 여부 확인을 위해 IMEI를 조회했지만, 이제는 Knox 기업 등록 여부도 확인해야 하는 상황이 됐습니다. 삼성이 Knox 포털에서 일반 소비자도 자신의 기기 IMEI 등록 상태를 쉽게 확인하고 해제할 수 있는 서비스를 제공해야 한다는 요구가 커지고 있습니다.

관련 글: 갤럭시·아이폰 수리가 비싼 이유 — 모토로라 1위, 삼성 D등급·애플 D- 최하위 공식 발표

갤럭시 S22 울트라 사용자들이 정상 구매한 자신의 폰에서 쫓겨나는 상황이 실제로 벌어지고 있습니다. Knox라는 보안 시스템이 오히려 해킹의 도구로 역이용된 아이러니한 사태입니다.

삼성이 공식 입장과 일괄 해결책을 내놓지 않는 동안 피해자들은 고객센터를 전전하며 구매 영수증을 들고 다녀야 하는 상황입니다. 갤럭시 S22 울트라 사용자라면 공장 초기화 전에 반드시 삼성 고객센터에 먼저 문의하시기 바랍니다.

삼성이 이 문제를 신속히 해결하지 않는다면, 소비자 불신이 커질 수 있습니다. 기업용 보안 시스템이 일반 소비자에게 피해를 줄 수 있다는 사실은 Knox 시스템 전반의 신뢰도에도 영향을 미칠 수 있습니다. 사태 해결을 위한 삼성의 공식 대응이 시급합니다.

※ 이 글은 Android Authority, Notebookcheck 등 복수의 IT 전문 매체 보도와 삼성 커뮤니티 피해자 사례를 바탕으로 작성된 정보 제공 목적의 콘텐츠입니다. 삼성전자의 공식 입장은 아직 발표되지 않았으며, 상황은 계속 변화할 수 있습니다.