[디지털투데이 AI리포터] 삼성 갤럭시 스마트폰을 노린 정교한 스파이웨어 ‘랜드폴(Landfall)’이 1년 가까이 감시 활동을 벌인 사실이 드러났다. 지난 7일(현지시간) IT매체 아스테크니카는 랜드폴이 삼성 안드로이드 소프트웨어의 제로데이 취약점을 활용해 개인정보를 탈취했다고 전했다.

공격자는 삼성 이미지 처리 라이브러리의 제로데이 취약점 CVE-2025-21042를 이용해 안드로이드용 스파이웨어 랜드폴을 배포한 것으로 나타났다. 삼성은 지난 4월 보안 패치를 배포했지만, 공격의 세부 내용은 최근에서야 공개됐다. 피해자는 중동 지역 특정 그룹으로 추정되며, 공격자는 여전히 미확인 상태다.

랜드폴의 가장 위험한 점은 ‘제로클릭’ 공격 방식이다. 사용자가 아무런 행동을 하지 않아도 악성코드가 기기에 침투한다. 연구팀은 애플 iOS와 왓츠앱에서 유사한 버그를 발견하고 조사한 끝에 랜드폴 공격을 추적했다. 공격자들은 악성 DNG 이미지 파일을 이용해 삼성폰의 이미지 처리 라이브러리를 교란했고, 사용자가 파일을 열지 않아도 시스템이 자동으로 스파이웨어를 실행했다.

랜드폴은 감염 후 원격 서버와 연결해 기기 정보를 전송하고, 앱 목록, 연락처, 파일, 브라우징 기록을 수집했다. 심지어 카메라와 마이크를 활성화해 사용자를 감시할 수도 있었다. 감염된 파일은 왓츠앱 같은 메신저 앱을 통해 배포됐으며, 갤럭시 S22, S23, S24, Z 플립4, Z 폴드4 등 특정 모델을 타깃으로 삼았다.

현재로선 랜드폴을 특정 단체와 직접 연결할 증거는 없지만, 연구팀은 NSO 그룹이나 바리스톤 같은 산업 스파이웨어 개발자들과 유사성을 발견했다고 밝혔다. 삼성 측은 사용자들에게 최신 업데이트 적용을 권장하고 있다.