WhatsApp, 애플 기기에서 ‘제로 클릭’ 스파이웨어 버그 수정

WhatsApp은 해커들이 링크를 클릭하거나 파일을 열지 않고도 은밀한 스파이웨어 캠페인에서 악용하고 있던 iOS 및 Mac 앱의 중요한 보안 결함을 패치했습니다.

메타 소속의 메시징 플랫폼은 CVE-2025-55177로 추적되는 이 취약점이 지난주 회사가 패치한 애플 소프트웨어의 또 다른 취약점(CVE-2025-43300)과 결합되어 있다고 밝혔습니다. 이 두 가지는 보안 전문가들이 “제로 클릭” 익스플로잇이라고 부르는 것을 만들어냈습니다. 이는 사용자의 어떤 행동도 필요 없이 해커들이 아이폰과 맥에 침투할 수 있게 해주는 해킹입니다.

“WhatsApp의 연결된 장치 동기화 메시지의 불완전한 권한 부여는 [..] 무관한 사용자가 타겟 장치의 임의 URL에서 콘텐츠 처리를 트리거할 수 있게 했을 것입니다.”라고 WhatsApp은 금요일 보안 권고에서 언급했습니다.

“우리는 이 취약점이 애플 플랫폼의 OS 수준 취약점(CVE-2025-43300)과 결합되어 특정 타겟 사용자를 겨냥한 정교한 공격에 악용되었을 가능성이 있다고 평가합니다.”

이 제로 클릭 결함은 WhatsApp iOS 버전 2.25.21.73 이전, WhatsApp Business iOS v2.25.21.78, 그리고 WhatsApp Mac v2.25.21.78에 영향을 미쳤습니다.

이번 달 초, 애플은 CVE-2025-43300 제로 데이 결함을 수정하기 위한 긴급 업데이트를 배포했으며, 이는 이미 “매우 정교한 공격”에 악용되었음을 언급했습니다.

두 회사는 공격의 배후를 공개적으로 밝힐 필요가 있지만, 인권 감시 단체인 국제앰네스티의 보안 연구소 책임자인 돈차 오 케르발(Donncha Ó Cearbhaill)은 WhatsApp이 최근 약 90일 동안 진행된 “고급 스파이웨어 캠페인”에 피해를 입은 일부 사용자에게 경고했다고 전했습니다. 이 캠페인은 전 세계적으로 200명 미만의 사람들에게 영향을 미쳤습니다.

목차

• WhatsApp의 대응
• 당신이 해야 할 일

WhatsApp의 대응

“우리는 WhatsApp을 통해 이 특정 공격이 발생하지 않도록 변경했습니다. 그러나 귀하의 장치 운영 체제는 여전히 악성 소프트웨어에 의해 손상되었거나 다른 방식으로 표적이 될 수 있습니다.”라고 WhatsApp 경고가 전했습니다.

돈차 오 케르발은 이 캠페인이 아이폰과 맥에 원격으로 침입하도록 설계되었으며, 피해자들이 자신의 장치가 손상되었다는 경고 신호를 받지 못했다고 설명했습니다. 이로 인해 공격자는 개인 메시지와 민감한 데이터에 접근할 수 있었습니다.

“또한 중요한 점은: 애플의 취약점이 핵심 이미지 라이브러리에 있었으며, WhatsApp 외의 다른 앱을 통해서도 타겟이 될 수 있었다는 것입니다.”라고 돈차 오 케르발이 덧붙였습니다.

WhatsApp이 정부 등급의 스파이웨어를 전달하는 채널로 사용된 것은 이번이 처음이 아닙니다. 2019년, 이 회사는 이스라엘 스파이웨어 공급업체 NSO 그룹을 고소했으며, 그들의 페가수스 악성 소프트웨어가 기자와 활동가를 포함한 1,400개 이상의 장치에 침투했습니다. 최근 WhatsApp은 이탈리아의 시민 사회 단체를 겨냥한 또 다른 캠페인을 중단했다고 밝혔습니다.

보안 전문가들은 이러한 공격이 감시 산업의 성장하는 힘을 보여준다고 경고합니다. 이전에 알려지지 않은 취약점을 악용함으로써 공격자는 최신 장치에도 침투할 수 있습니다. 피싱 시도와 달리 제로 클릭 익스플로잇은 사용자 행동에 의존하지 않기 때문에 예방하고 방어하기가 거의 불가능합니다.

당신이 해야 할 일

일반 WhatsApp 사용자에게는 위험이 매우 낮습니다. 그러나 가능한 한 빨리 앱과 운영 체제를 업데이트하는 것이 중요합니다.

기자, 활동가 및 민감한 분야에 있는 다른 사람들은 추가 방어를 위해 애플의 잠금 모드 또는 안드로이드의 고급 보호 모드를 활성화할 것을 보안 전문가들이 권장합니다. 스파이웨어 제작자들이 지속적으로 약점을 찾고 있기 때문에, 패치가 제공되면 장치를 패치하고 최신 상태로 유지하는 것이 최선의 방어 수단입니다.