삼성전자의 갤럭시폰에서 제로데이 보안 취약점(CVE-2025-21043)이 확인됐다. 제로데이 공격은 보안 취약점이 발견되었을 때 그 문제의 존재 자체가 널리 공표되기도 전에 해당 취약점을 악용하여 이루어 지는 보안 공격이다. 이번 문제는 큐램소프트(Quramsoft)의 'libimagecodec.quram.so'라는 이미지 처리 라이브러리에서 발생했으며, 사진을 열거나 메시지 앱에서 자동으로 미리보기를 띄우는 과정만으로도 공격자가 휴대폰을 장악할 수 있다는 점이 제기됐다.

이번 결함은 메모리 경계 밖 쓰기 유형으로, 조작된 이미지가 처리되는 순간 악성 코드가 실행될 수 있다. 삼성은 이 문제를 심각(Critical) 단계로 분류했다.

또한 삼성 측은 취약점이 “실제 공격에 사용된 정황이 있었다는 사실을 통보받았다고 밝혔다. 이미지 파서가 메시지·갤러리 등 여러 경로에서 자동으로 실행되는 만큼, 사용자가 이미지를 직접 열지 않아도 취약점이 트리거될 수 있어 보안업계는 이를 ‘제로-클릭 공격’으로 규정한다.

최근 보도에 따르면 메타(WhatsApp) 보안팀이 지난 8월 해당 취약점을 삼성에 제보했고, 삼성은 9월 초 배포된 월간 보안 업데이트(SMR Sep-2025 Release 1)에 수정을 포함해 배포를 시작했다. 

다만 통신사·모델·지역별 순차 배포 특성상 모든 기기에 즉시 적용되는 것은 아니어서, 아직 패치가 적용되지 않은 단말이 존재할 수 있다고 몇몇 보안 전문 매체는 언급했다. 

이 사건은 전례가 있다. 2020년에도 삼성의 독자 이미지 포맷(Qmage)에서 제로-클릭 MMS 취약점이 보고되어 국제적 주목을 받은 바 있다. 당시와 마찬가지로 이번에도 ‘특수 제작된 이미지 한 장’만으로 기기 침해가 가능한 유형이라는 점이 지적돼, 같은 계열의 이미지 코덱에서 유사한 문제가 반복되는 것 아니냐는 우려가 나온다.

삼성은 공식 공지에서 “문제가 된 코드 구현을 수정했으며, 실제 악용 사례가 보고됐다”고 밝혔으나, 본지가 모델·빌드별 패치 적용 현황이나 악용 정황의 구체적 근거를 문의하자 삼성 측은 “이번 보안패치는 메타의 와츠앱에 악성코드가 있다고 보고돼 조치한 것이며, 이외에 더 자세히 설명드리기는 어렵다”고 회신했다.

이번 사건은 단순한 소프트웨어 버그를 넘어 외부 서드파티 코드에 대한 의존, 자동 처리 경로가 만드는 제로-클릭 표면, 그리고 순차적 패치 배포 방식이라는 구조적 한계의 의문점이 남는다. 

본지는 향후 추가 취재를 통해 패치 적용 현황과 피해 여부를 후속 기사에서 전할 예정이다.