픽셀 10이 "누르지 않아도" 뚫린다 - 0-click 익스플로잇 체인이 무서운 이유

사용자가 아무것도 안 했는데 핸드폰이 털린다고요?

구글 프로젝트 제로(Project Zero)가 픽셀 10을 대상으로 한 0-click 익스플로잇 체인을 공개했어요. "0-click"이라는 말, 처음 들으면 좀 무서운데요. 이게 뭐냐면 사용자가 링크를 누르거나, 파일을 열거나, 뭔가를 설치하는 행동을 전혀 하지 않아도 공격이 성공한다는 뜻이에요. 평소처럼 핸드폰을 책상에 두고 커피 마시고 있는데, 그 사이에 누군가 메시지 하나 보내는 것만으로 시스템 권한을 통째로 가져갈 수 있는 거예요.

예전에 페가수스(Pegasus) 스파이웨어가 NSO 그룹이라는 회사를 통해 기자, 인권운동가들의 아이폰을 감염시켰던 사건 기억하시나요? 그것도 대표적인 0-click 공격이었어요. 이번 픽셀 10 건은 "안드로이드 진영의 가장 보안이 단단하다는 기기도 결국 뚫린다"는 점에서 의미가 크다고 봐요.

익스플로잇 "체인"이 뭔지부터 풀어볼게요

최근 모바일 보안 공격은 거의 다 체인(chain) 형태예요. 이게 뭔지 비유로 설명하면, 은행 금고를 털려면 보통 정문 자물쇠, CCTV 우회, 금고실 비밀번호, 금고 자체 잠금장치까지 4개를 다 뚫어야 하잖아요. 한 가지 취약점만 가지고는 충분하지 않으니까, 여러 개의 취약점을 순서대로 연결해서 최종 권한까지 도달하는 거예요.

전형적인 모바일 0-click 체인은 이런 식으로 흘러가요. 먼저 메시지나 미디어 처리 컴포넌트에서 메모리 손상(memory corruption) 버그를 터뜨려요. 이미지 파싱 라이브러리, 비디오 디코더, RCS/iMessage 같은 메시지 프로토콜 스택이 단골 진입점이에요. 그다음 샌드박스 탈출(sandbox escape) 단계가 와요. 안드로이드는 앱마다 격리된 공간에서 돌아가는데, 이 격리를 뚫고 나오는 거죠. 마지막으로 권한 상승(privilege escalation) 으로 커널 레벨까지 올라가서 사실상 기기를 통제할 수 있게 돼요.

픽셀이 특히 어려운 이유는 구글이 보안에 진심이기 때문이에요. Titan M2 보안 칩으로 부팅 무결성을 보호하고, MTE(Memory Tagging Extension)라는 ARM의 새 기능으로 메모리 손상 공격 자체를 잡아내려고 해요. MTE는 메모리 블록마다 "태그"를 붙여서, 잘못된 영역을 건드리면 즉시 크래시 내는 기술이에요. 그런데도 체인이 성립했다는 건 공격자가 이런 방어막들을 하나씩 우회했다는 뜻이라 의미가 무거워요.

업계 흐름에서 이 발표의 위치

프로젝트 제로는 구글 내부의 보안 연구팀인데, "우리 회사 제품도 가차 없이 공격한다" 는 원칙으로 유명해요. 발견한 취약점은 90일 공개 정책에 따라 알려주고, 패치가 나오면 기술 분석을 자세히 공개해요. 이번 픽셀 10 발표도 같은 흐름이에요. 공격 코드 자체를 무기로 풀어버리는 게 아니라, "이렇게 뚫렸으니 다른 OEM과 칩 제조사들도 같은 교훈을 얻으라" 는 메시지에 가까워요.

비슷한 작업으로는 애플의 BlastDoor(메시지 격리 시스템), 삼성의 Knox, 그리고 GrapheneOS 같은 보안 강화 안드로이드 포크가 있어요. 특히 GrapheneOS는 픽셀 기기 전용으로 만들어지는데, 일반 픽셀보다 더 공격적인 메모리 방어를 적용해서 일부 0-click 공격에 더 강하다고 알려져 있어요. 이번 분석이 GrapheneOS 같은 프로젝트의 방향성에도 영향을 줄 거예요.

한국 개발자가 챙길 만한 시사점

우선 "내 앱이 0-click 공격의 진입점이 될 수 있다" 는 관점을 가져야 해요. 특히 메시징 앱, 사진/영상 공유 앱, 푸시 알림 처리 코드가 위험해요. 사용자가 앱을 켜지 않아도 백그라운드에서 데이터를 받아 처리하는 부분이 있다면, 그곳이 바로 공격면(attack surface)이에요. 외부에서 들어오는 모든 바이너리 데이터는 메모리 안전한 언어(Rust, Kotlin) 로 파싱하거나, 최소한 충분히 검증된 라이브러리만 쓰는 습관이 중요해요.

또 모바일 앱을 만든다면 MTE, Pointer Authentication 같은 하드웨어 보안 기능을 활성화하는 게 좋아요. NDK 빌드 옵션으로 켤 수 있는데, 성능 영향이 거의 없으면서 메모리 손상 공격에 강해져요. 그리고 보안에 민감한 일을 한다면(언론, 인권 활동, 기업 임원) "최신 보안 패치가 적용된 기기를 쓰고, 의심스러운 번호의 메시지는 차단하라" 는 조언이 여전히 유효해요. 0-click이라 해도 공격자가 전화번호나 식별자를 알아야 보낼 수 있으니까요.

마무리

0-click은 "내가 조심한다고 막을 수 있는 게 아니다"라는 점에서 보안 모델 자체를 다시 생각하게 만드는 영역이에요. 그래서 하드웨어 + OS + 앱 레이어 모두에서 다층 방어가 필수고, 이번 픽셀 10 분석은 그 어려움을 적나라하게 보여줘요.

여러분은 본인이 만든 앱에서 "외부 입력을 사용자 개입 없이 처리하는 코드"가 어디인지 떠올려본 적이 있나요? 그곳이 바로 첫 번째로 점검해봐야 할 자리예요.