미국 사이버 보안업체 팔로알토네트웍스(Unit 42)는 2024년 중반부터 2025년 초 사이에 활동한 새로운 안드로이드 스파이웨어 계열 ‘LANDFALL’을 공개했다.

공격자는 삼성 이미지 처리 라이브러리의 제로데이 취약점(CVE-2025-21042)을 악용해 DNG(RAW) 이미지 파일 안에 악성 모듈을 숨기고, WhatsApp 등 메시징 앱을 통해 표적 단말기에 전송했다. 이를 통해 원격 코드 실행과 광범위한 감시 기능을 확보했다.

특히 공격은 제로클릭 가능성, SELinux 정책 조작, 모듈형 C2 인프라 등 고급 스텔스·영속성 기법을 활용했으며, 표적 지역은 중동으로 추정된다.

팔로알토 Unit 42 보고서에 따르면, LANDFALL의 최초 샘플은 2024년 7월 VirusTotal에 업로드된 흔적이 있으며, 이후 2025년 초까지 활동이 이어졌다.

삼성전자는 문제의 취약점 CVE-2025-21042(SVE-2024-1969)을 2025년 4월 보안 패치로 수정했으며, 같은 라이브러리에서 발견된 유사 취약점 CVE-2025-21043도 같은 해 9월에 추가로 패치했다.

이 스파이웨어는 갤럭시 S22·S23·S24 시리즈, Z Fold4·Z Flip4 등 특정 모델을 집중적으로 노렸으며, Unit 42는 이란·이라크·터키·모로코 등 중동 및 인근 지역이 주요 표적이었을 가능성을 제기했다.

공격자는 DNG 이미지 파일 내에 ZIP 아카이브를 숨기고, libimagecodec.quram.so 라이브러리의 결함을 통해 악성 .so(네이티브 로더)를 추출·실행했다. 파일 이름과 메타데이터 분석 결과, WhatsApp을 통한 전송 흔적이 다수 발견됐다.

LANDFALL은 삼성 이미지 처리 라이브러리(libimagecodec.quram.so)의 DNG 파싱 결함(CVE-2025-21042)을 악용했다. 공격자는 DNG 파일 끝부분에 ZIP 아카이브를 덧붙이는 방식으로 악성 페이로드를 숨겼다. 파일은 겉보기엔 정상적인 이미지처럼 보이지만, 이미지가 처리되는 순간 악성 라이브러리가 자동으로 추출·실행된다.

또한 WhatsApp의 미디어 처리 또는 외부 URL 처리 취약점이 결합될 경우, 사용자 조작 없이 감염이 일어나는 제로클릭 공격도 가능하다. 이는 iOS 및 WhatsApp에서 2025년에 보고된 제로데이(CVE-2025-55177, CVE-2025-43300)와 유사한 구조를 보인다.

LANDFALL은 고도의 모듈식 구조를 가진 상업형 스파이웨어로, 다음과 같은 핵심 구성 요소로 이루어진다.

• b.so (Bridge Head): 초기 로더 역할을 수행하는 ARM64 ELF 모듈. 추가 DEX·.so 모듈을 메모리 또는 디스크에 전개하며, IMEI, IMSI, OS 버전, 설치 앱 목록, 위치, 연락처, 통화 내역, 마이크 녹음, 카메라 촬영 등 광범위한 정보를 수집한다. 
• l.so (SELinux Policy Manipulator): XZ 압축 형태로 포함된 SELinux 조작 모듈. 시스템 보안정책을 런타임 중 변경해 권한을 상승시키고,스파이웨어의 지속성과 탐지 회피 능력을 강화한다.
• C2 인프라: HTTPS를 기반으로 하지만 비표준 포트와 TLS 핀닝을 사용해 탐지를 어렵게 만들었다. 주요 C2 서버는 brightvideodesigns[.]com 등으로, 2024~2025년 사이 활발히 운영된 것으로 파악됐다.

LANDFALL은 LD_PRELOAD 방식의 실행, 프로세스 주입, Frida/Xposed 탐지, 디버거(TracerPid) 감지 등 다양한 은폐 기술을 사용했다. 

또한 WhatsApp 미디어 디렉토리를 실시간 모니터링하며, 감염 흔적을 숨기기 위한 표식(cover-artifact)을 남기는 등 정교한 자기은폐 기능을 구현했다. 세션은 suicide_time(7200초)으로 제한되며, 일정 주기마다 통신 및 명령을 재설정해 운용 흔적을 최소화한다.

DNG/RAW 이미지 파서가 새로운 공격 벡터로 부상했다. Apple·Samsung·WhatsApp 등 주요 플랫폼에서 연쇄적으로 보고된 DNG 취약점은, 이미지 파일 포맷 자체가 스파이웨어 전파 경로로 악용될 수 있음을 입증했다.

LANDFALL의 코드명(Bridge Head), 인프라 구조, 운영 패턴은 PSOA(Private Sector Offensive Actor)의 전형적 특징과 일치한다. 이는 국가 APT가 아닌 민간 정보업체를 통한 스파이웨어 유통이 활발히 이루어지고 있음을 시사한다.

시스템 보안의 핵심 축인 SELinux를 무력화함으로써, 단순한 취약점 패치만으로는 완전한 차단이 어렵다. 이는 영속적 권한 상승과 지속 감염 구조를 가능케 하는 핵심 기술이다.

네이티브 .so 기반 로더, TLS 핀닝, DEX 메모리 실행 등으로 인해 전통적인 시그니처·트래픽 탐지 체계만으로는 식별이 거의 불가능하다. 샘플이 VirusTotal에 장기간 존재했음에도 캠페인이 늦게 포착된 이유도 이 때문이다. 

정책·운영적 대응 권고 (Actionable Guidance)

① 제조사 및 플랫폼 제공자(삼성 등)
보안 패치 배포 주기 단축 및 이미지 파서 코드의 우선 점검 체계 마련
권한 최소화·샌드박스 강화를 통한 미디어 처리 경계 분리
SELinux 정책 무결성 모니터링 시스템 구축

② 메시징·앱 서비스(WhatsApp 등)
미디어 전송 전 샌드박스 검사 및 포맷 검증 절차 강화
RAW/DNG 포맷 자동 분석 및 격리 시스템 도입

③ 기업 및 기관(운영자)
MDM을 통한 기기 보안정책 강제화, 미디어 자동처리 제한
비표준 포트 및 TLS 핀닝 우회 패턴 탐지 규칙 적용
포렌식 대비체계 마련: /data/data/com.samsung.ipservice 및 WhatsApp 미디어 로그 분석 절차를 포함한 IR 프로토콜 정립

④ 개인 사용자
최신 보안 업데이트 유지 및 출처 불명의 DNG 파일 열람 금지
정기 백업 및 이중 인증 활성화로 피해 확산 방지
 
LANDFALL 사례는 상업용 스파이웨어 산업의 회색지대를 보여준다. PSOA 기반 스파이웨어의 국경 간 거래는 기술 수출통제 및 국제 규범 마련의 필요성을 부각시킨다.

또한 DNG 이미지 파서와 같은 ‘유틸리티 계층’의 공급망 보안이 새로운 논의 대상이 되고 있으며, 메신저·미디어 처리 코드를 시스템 수준 보안 기준(모바일 보안 베이스라인)으로 격상할 필요성이 커지고 있다.

LANDFALL은 단순한 악성코드가 아니다. 이미지라는 일상적 파일 포맷을 무기화해, 제로데이로 침투하고 SELinux 정책까지 조작하는 고도화된 상업급 스파이웨어 프레임워크다. 

이제는 취약점 패치만으로 충분하지 않다. 제조사, 플랫폼, 기업, 정책기관이 패치 속도·무결성 검증·이상행동 탐지·공급망 통제를 포괄하는 다층 방어 체계를 구축해야 한다. 그렇지 않다면 LANDFALL은 이름만 바꾼 또 다른 형태로, 다시 우리의 일상 속으로 침투할 것이다.

[저작권자ⓒ META-X. 무단전재-재배포 금지]