누르지 않아도 감염된다 – 제로클릭 스파이웨어의 실체
링크를 클릭하지도 않았고, 메시지를 열지도 않았는데…
그런데 이미 내 스마트폰에 스파이웨어가 설치될 수 있다면 믿을 수 있겠습니까?
이 무서운 현실이 바로 제로클릭(Zero‑click) 스파이웨어의 본질입니다.
제로클릭 공격이란 무엇인가요?
기존의 해킹은 사용자가 링크를 클릭하거나 첨부 파일을 열 때 시작됩니다. 하지만 제로클릭 공격은 단순히 메시지가 스마트폰으로 도달하기만 해도 실행될 수 있습니다. 즉, 사용자의 어떤 조작 없이도 스마트폰에 전달된 콘텐츠가 자동으로 취약점을 악용해 코드 실행을 유발할 수 있는 것입니다.
공격자는 메신저, 푸시 알림, 이미지 파일 등 다양한 수단을 활용합니다. iMessage, WhatsApp, SMS 등 친숙한 수단이 악용될 수 있으며, 심지어 알림 창을 누르지 않아도 공격이 성공하는 경우도 있습니다.
실존하는 사례들
2023년에는 아이폰을 대상으로 한 제로클릭 공격 사례가 실제로 발견되었습니다. ‘BLASTPASS’라는 이름이 붙은 이 공격은 iMessage로 전송된 이미지 파일을 통해 실행되었습니다.
사용자는 아무것도 하지 않았는데도 스파이웨어가 설치되고, 이후 모든 활동이 감시될 수 있었습니다. 이처럼 실제 세계에서 제로클릭 공격은 더 이상 이론이 아니라 실전에서 쓰이는 기술입니다. 그 대상은 언론인, 인권 운동가, 공무원 등 특정 인물에 한정되지 않고, 기업 임직원이나 일반 사용자로 확대되고 있습니다.
누가 이런 공격을 만들까요?
이러한 공격의 상당수는 상업적 감시 기술 업체, 이른바 CSV(Commercial Surveillance Vendor)에서 개발됩니다. 이들은 수십억 원에 달하는 제로데이 취약점과 악성코드를 국가 기관이나 권한 있는 단체에 판매합니다.
한 보안 전문가는 “현재 발견되는 다수의 제로데이가 CSV의 소행이며, 특히 휴대전화에서 이런 일이 두드러진다"라고 언급하기도 했습니다. 그는 “사용자가 문자를 읽었는지는 중요하지 않다. 일단 접촉만 하면 피해자가 거의 100% 확보된다"라는 말로 제로클릭의 위험성을 강조했습니다.
스마트폰이 잠긴 금고라면…
스마트폰은 이제 단순한 통신 기기를 넘어 개인의 삶 전체가 담긴 정보 창고입니다. 사진, 위치, 메시지, 연락처, 건강 정보까지 모두 들어 있습니다. 제로클릭 스파이웨어는 이 금고의 문을 두드리지도 않고, 곧바로 내부로 들어와 모든 것을 훑어가는 도둑과 같습니다. 우리가 아무리 조심해도, 백신 앱을 설치해도, ‘수신 차단’을 걸어도 소용이 없는 이유는, 공격이 사용자의 행동조차 필요로 하지 않기 때문입니다.
블랙쏘세지는 링크를 내 스마트폰이 아닌, 격리된 환경에서 엽니다
공격의 많은 수단은 링크와 메시지를 통해 유입됩니다. 블랙쏘세지는 원격 브라우저 격리(Remote Browser Isolation) 기술을 사용합니다. 사용자가 링크를 클릭하더라도 해당 링크는 내 스마트폰이 아니라 안전하게 분리된 외부 서버에서 열립니다.
그 결과물만 내 스마트폰으로 안전하게 전달되기 때문에, 링크 안에 악성코드가 숨어 있어도 직접적인 감염이 일어날 수 없습니다. 예를 들어, 위험할지도 모르는 택배를 집 안이 아닌 격리된 공간에서 먼저 개봉하고 확인한 후, 그 안에 있는 안전한 물품만 전달받는 방식과 같습니다.
링크 클릭이 곧바로 감염으로 이어질 수 있는 오늘날, 링크를 격리시켜주는 이 기술은 매우 중요한 방어선이 됩니다.
