Ⅰ. 사건 개요 – ‘LANDFALL’, 한 장의 이미지로 스마트폰을 장악하다
2024년 중반부터 2025년 초까지, 수천 대의 삼성 갤럭시 스마트폰이 ‘LANDFALL’이라는 고도화된 스파이웨어에 감염된 사실이 뒤늦게 밝혀졌습니다.
이 공격은 사용자의 클릭조차 필요하지 않은 ‘제로클릭(Zero-Click)’ 공격이었습니다. 단 한 장의 사진 파일(DNG 형식)을 받아보기만 해도, 그 안에 숨겨진 악성 코드가 자동으로 실행되었습니다.
보안 업체 Palo Alto Networks의 Unit 42 연구팀은 이 공격을 분석하며,
LANDFALL이 삼성 기기의 이미지 처리 라이브러리 취약점(CVE-2025-21042)을 악용했다고 밝혔습니다.
즉, 메신저 앱(특히 WhatsApp 등)을 통해 수신된 이미지가 백그라운드에서 처리될 때 시스템을 감염시킨 것입니다.
삼성은 2025년 4월 보안 업데이트에서 이 취약점을 신속히 수정했으며,
같은 해 9월에는 유사한 구조의 CVE-2025-21043을 추가로 패치했습니다.
문제는 이미 공격이 약 10개월 동안 조용히 진행된 뒤였다는 점입니다.
Ⅱ. 왜 위험했나 – ‘Zero-Click’의 본질
‘제로클릭’ 공격은 보안 전문가들조차 두려워하는 방식입니다.
사용자가 파일을 열지 않아도, 단순히 수신하거나 미리 보기만으로 공격이 가능합니다.
LANDFALL은 그 대표적 사례였습니다.
이 스파이웨어는 다음과 같은 기능을 통해 정보를 수집했습니다.
| 주요 침입 기능 | 설명 |
| 마이크 도청 | 음성·통화 내용을 실시간으로 녹음 |
| 위치 추적 | GPS 좌표를 주기적으로 전송 |
| 데이터 탈취 | 사진, 연락처, 메시지, 통화기록 수집 |
| 원격 명령 | 카메라 제어 및 파일 삭제 가능 |
특히, 감염 후에는 운영체제 수준의 권한(root 접근) 을 획득해, 일반적인 백신 앱으로는 탐지가 거의 불가능했습니다.
이런 이유로 전문가들은 LANDFALL을 “민간 감시용 스파이웨어” 로 분류하고 있습니다.
Ⅲ. 주요 피해 지역과 공격 주체
Unit 42는 LANDFALL이 중동 지역(이란, 이라크, 모로코, 터키) 사용자를 집중적으로 공격했다고 밝혔습니다.
특히 공격 인프라와 코드 패턴이 ‘Stealth Falcon’으로 알려진 해킹 조직과 유사하다는 점에서,
일부 보안 분석가는 국가 지원형 공격 가능성을 제기하고 있습니다.
이 사건은 단순한 범죄 행위를 넘어,
“국가 간 사이버전의 민간 침투 단계”로 해석되기도 했습니다.
즉, 소비자가 쓰는 평범한 스마트폰이 감시 도구로 변할 수 있다는 현실을 드러낸 것입니다.
Ⅳ. 삼성의 대응 – 빠른 패치, 그러나 경고는 남았다
삼성전자는 2025년 4월 보안 공지를 통해 해당 취약점을 공식적으로 차단했습니다.
같은 해 9월, 동일한 이미지 처리 라이브러리의 구조적 결함을 보완하는 추가 패치도 배포했습니다.
삼성의 공식 입장은 다음과 같습니다.
“모든 사용자는 정기 보안 업데이트를 활성화하고, 공식 스토어 외부의 앱 설치를 자제해야 한다.”
이는 단순히 한 번의 사건이 아니라, 스마트폰 보안 관리 습관의 중요성을 일깨운 계기였습니다.
Ⅴ. 소비자를 위한 5단계 보호 가이드
| 단계 | 보호 조치 | 설명 |
| 1 | 최신 소프트웨어 업데이트 | ‘설정 → 소프트웨어 업데이트 → 다운로드 및 설치’ 실행 |
| 2 | 메신저 자동 다운로드 차단 | WhatsApp: 설정 → 저장공간 → 자동 다운로드 ‘해제’ |
| 3 | 앱 권한 최소화 | 카메라·마이크 접근 권한을 ‘사용 중일 때만 허용’으로 제한 |
| 4 | 보안 로그 점검 | ‘설정 → 보안 및 개인정보 보호 → 보안 로그 보기’ 기능 활용 |
| 5 | Knox 보안폴더 활성화 | 민감한 사진·문서·계좌정보를 Knox Secure Folder로 분리 |
이 다섯 단계만으로도 제로클릭 공격의 대부분을 예방할 수 있습니다.
특히 2번 항목은 필수입니다.
자동 다운로드가 비활성화되어 있으면, 공격용 이미지 파일이 시스템에 도달하기 전에 차단됩니다.
Ⅵ. 향후 전망 – ‘제로클릭’의 시대와 안드로이드의 과제
LANDFALL은 단일 사건으로 끝나지 않습니다.
이는 전 세계 스마트폰 생태계가 직면한 보안 패러다임의 전환점을 상징합니다.
클릭 한 번 없는 감염, 인공지능을 활용한 탐지 회피, 그리고 상업화된 스파이웨어 시장의 팽창.
삼성뿐 아니라 애플, 구글, 화웨이 등 주요 제조사들도
이제 “사용자 개입이 전혀 없는 공격”을 상정한 방어체계 구축이 필요합니다.
한편, 소비자는 ‘패치와 업데이트’를 단순한 불편이 아닌 자기 보호 행위로 인식해야 합니다.
LANDFALL 사태는 “기술은 완벽하지 않지만, 습관은 방패가 된다”는 사실을 보여줍니다.
Ⅶ. 결론 – 기술보다 강한 것은 ‘습관’
삼성은 보안 업데이트를 통해 문제를 해결했습니다.
하지만 진짜 보안의 핵심은 소프트웨어보다 사용자의 습관입니다.
자동 다운로드를 끄고, 주기적으로 업데이트하며,
의심스러운 파일은 절대 열지 않는 기본 원칙만 지켜도 피해를 막을 수 있습니다.
LANDFALL은 지나갔지만,
“다음 제로클릭”은 이미 연구소 어딘가에서 준비되고 있을지도 모릅니다.
보안은 완성이 아니라, 계속되는 싸움입니다.
