사회공학·ADB 권한 탈취 결합… 스마트폰을 ‘완전한 감시 장치’로 전환
저비용 감시기술의 확산… “이제 해킹은 기술이 아니라 설득의 문제”

[메타X(MetaX)] 2026년 4월, 보안 연구진이 정체불명의 안드로이드 스파이웨어 ‘Morpheus(버전 2025.3.0)’의 실체를 공개하면서 모바일 보안 환경에 대한 경고가 다시 한 번 제기됐다. 이번에 발견된 악성코드는 기존의 해킹 방식과는 본질적으로 다른 접근을 취한다. 기술적 취약점을 파고드는 대신, 사용자를 속이고 설득하는 방식으로 감염을 유도한다는 점에서다.

Morpheus의 감염 경로는 단순하지만 치밀하다. 공격자는 통신 장애나 서비스 문제를 가장한 상황을 만들어낸 뒤, 이를 해결하기 위한 ‘필수 앱 설치’를 요구하는 메시지를 전송한다. 사용자는 이를 정상적인 안내로 오인하고 직접 악성 애플리케이션을 설치하게 된다. 이 과정에서 보안 시스템은 거의 개입하지 못하며, 결과적으로 감염의 책임이 사용자 행동으로 전가되는 구조가 형성된다.

감염 이후 Morpheus는 스마트폰의 통제권을 단계적으로 장악한다. 초기에는 ‘Dropper’ 역할을 하는 설치 유도 앱이 실행되고, 이후 실제 스파이웨어 기능을 수행하는 ‘Agent’가 작동하는 2단계 구조를 따른다. 특히 이 Dropper는 오픈소스 설치 도구를 변형해 만들어져 기존 보안 솔루션의 탐지를 회피할 가능성이 높은 것으로 분석된다.

기술적으로 가장 주목되는 부분은 접근성(Accessibility) 기능의 악용이다. 원래는 장애인을 위한 보조 기능으로 설계된 이 시스템을 통해 악성코드는 화면을 읽고, 버튼을 자동으로 클릭하며, 앱 간 상호작용을 수행한다. 즉, 사용자의 개입 없이도 스마트폰을 스스로 조작할 수 있는 상태에 도달한다. 여기에 더해 개발자 옵션을 활성화하고 ADB(Android Debug Bridge)를 자동으로 연결함으로써, 기기 내부에 대한 관리자 수준의 권한까지 확보한다. 이 단계에 이르면 스마트폰은 사실상 외부에서 원격 제어가 가능한 서버로 변환된다.

Morpheus의 위협은 단순한 침투에 그치지 않는다. 이 악성코드는 자신의 존재를 숨기는 데에도 집중한다. 카메라와 마이크 사용 시 나타나는 표시를 비활성화하고, 보안 기능인 Google Play Protect를 무력화하며, 백신 애플리케이션을 제거하는 기능까지 포함하고 있다. 사용자는 감염 사실을 인지하기 어려운 상태에 놓이게 된다.

특히 주목되는 기능은 메시징 플랫폼 계정 탈취 방식이다. Morpheus는 WhatsApp 계정 연동 과정에서 가짜 생체인증 인터페이스를 띄운다. 사용자가 지문 인증을 수행하면, 실제 인증은 백그라운드에서 진행되며 공격자는 별도의 기기를 사용자 계정에 연결할 수 있게 된다. 이 과정에서 사용자는 자신의 계정이 외부에 노출됐다는 사실조차 인지하지 못한다.

이번 사례는 기술적 측면뿐 아니라 산업적·사회적 맥락에서도 중요한 함의를 갖는다. Morpheus는 고도의 제로데이 취약점이 아닌 사회공학 기법, 오픈소스 도구, 그리고 운영체제의 정상 기능을 결합해 만들어졌다. 이는 감시 기술이 더 이상 고비용·고난도 영역이 아니라는 점을 의미한다. 즉, 누구나 비교적 낮은 비용으로 유사한 수준의 감시 도구를 개발할 수 있는 환경이 형성되고 있다는 것이다.

또한 일부 인프라가 이탈리아 기반 감시 기술 기업들과 연결된 정황이 확인되면서, 민간 기업이 이러한 기술을 개발·운영할 가능성에 대한 우려도 제기된다. 감시 기술이 공공 안전을 위한 도구로 활용될 수 있다는 명분과, 개인의 프라이버시를 침해할 수 있다는 위험 사이에서 경계가 점점 모호해지고 있는 것이다.

이러한 흐름은 과거 Pegasus 사례와 비교할 때 더욱 분명해진다. Pegasus가 고가의 제로데이 공격을 기반으로 한 ‘정밀 타격형’ 감시 기술이었다면, Morpheus는 사회공학과 시스템 기능을 활용한 ‘대중화된 감시 도구’에 가깝다. 감시 기술이 소수의 국가 또는 기관에서 다수의 행위자로 확산되는 전환점에 들어섰다는 해석이 가능하다.

결국 Morpheus가 던지는 메시지는 명확하다. 보안의 중심이 기술에서 인간으로 이동하고 있다는 점이다. 더 이상 취약점 패치만으로는 충분하지 않으며, 사용자의 판단과 행동이 가장 중요한 보안 요소로 부상하고 있다. 스마트폰은 개인의 일상 도구를 넘어, 언제든 감시 인프라로 전환될 수 있는 플랫폼이 됐다.

Morpheus는 하나의 악성코드에 그치지 않는다. 그것은 감시의 방식이 바뀌고 있다는 신호다. 이제 감시는 더 이상 복잡한 기술이 아니다. 조용하고, 저렴하며, 무엇보다 사용자의 손을 통해 스스로 설치된다는 점에서 더욱 위험해지고 있다.

[ⓒ META-X. 무단전재-재배포 금지]