[콕스 백과사전] 랜드폴(Landfall)

가상으로 만든 랜드폴 해킹 공격 모습 / 사진 챗GPT로 생성

랜드폴(Landfall)은 삼성 갤럭시 스마트폰을 표적으로 만든 정교한 상업용 안드로이드 스파이웨어다.

2024년 7월부터 2025년 4월까지 약 1년 동안 중동과 북아프리카 지역에서 기승을 부린 이 스파이웨어는 삼성 이미지 처리 라이브러리 내 제로데이 취약점(CVE-2025-21042)을 악용해 감염을 시도했다.

공격 방식은 왓츠앱 등 메시징 앱을 통해 DNG(Digital Negative) 포맷의 악성 이미지를 전송하는 ‘제로 클릭’ 형태다. 사용자가 이미지를 열거나 클릭하지 않아도 자동으로 스파이웨어가 설치된다.

해당 이미지 내부에는 압축 파일로 된 로더와 SELinux 정책을 조작하는 모듈이 숨겨져 있다. 로더에선 ‘브리지 헤드(Bridge Head)’라는 흔히 상업용 스파이웨어 로더에서 쓰이는 명칭이 확인됐다.

감염된 랜드폴은 마이크로폰 활성화로 음성 녹음, 통화 내용 엿보기, 문자·사진·연락처 탈취, 위치 추적 등 광범위한 정보 수집이 가능하며, 디버거 탐지, 보안 도구 회피, 인증서 고정 등 고급 은폐·방어 기능도 갖췄다. 통신은 HTTPS로 이뤄져 보안 수준을 높였다.

랜드폴은 갤럭시S22, 갤럭시S23, 갤럭시S24, 갤럭시Z 폴드4, 갤럭시Z 플립4 등 플래그십 모델을 주요 타겟으로 삼았다.

피해 지역은 터키, 이란, 이라크, 모로코 등이며, 공격 주체는 아직 명확히 밝혀지지 않았다. 이란 연계 해커 그룹 ‘스텔스 팔콘’과 연관 가능성이 제기된다.

삼성전자는 2025년 4월 취약점 패치를 통해 랜드폴 공격을 차단했다.