Pixnapping 안드로이드 결함
사이버 보안 연구원들이 구글과 삼성의 안드로이드 기기에 영향을 미치는 '픽스내핑(Pixnapping)'이라는 심각한 취약점을 발견했습니다. 이 부채널 공격은 악성 앱이 사용자 모르게 화면 픽셀을 캡처하여 이중 인증(2FA) 코드와 구글 지도 타임라인을 포함한 민감한 데이터를 은밀하게 훔칠 수 있도록 합니다. 이 공격은 픽셀 단위로 진행되므로 매우 정확하고 은밀하게 이루어집니다.
목차
Pixnapping의 작동 방식: 핵심은 픽셀 도용
Pixnapping은 기본적으로 표준 브라우저 완화 조치를 우회하고 Google Authenticator와 같은 비브라우저 앱을 타겟팅하도록 설계된 픽셀 도용 프레임워크입니다. Android API와 하드웨어 사이드 채널을 활용하여 민감한 정보를 빠르게 수집하고, 2FA 코드를 30초 이내에 추출할 수 있습니다.
이 공격은 Android의 렌더링 파이프라인을 독특한 방식으로 악용합니다.
- 악성 앱은 Android 인텐트를 사용하여 피해자 픽셀을 렌더링 파이프라인으로 강제로 삽입합니다.
- 그런 다음 반투명 Android 활동 스택을 적용하여 해당 픽셀을 계산합니다.
이 방법론은 이전에는 브라우저에만 국한되었던 '스톤 스타일' 공격을 이제 네이티브 앱에 맞게 적용한 것입니다.
위험에 처한 장치 및 취약성 범위
이 연구에서는 Android 버전 13~16을 실행하는 Google과 Samsung 기기 5대를 구체적으로 조사했습니다. 다른 제조업체의 기기는 테스트되지 않았지만, 이 공격의 기본 원칙은 모든 Android 기기에 존재하므로 해당 플랫폼이 광범위하게 취약할 수 있습니다.
놀랍게도 모든 안드로이드 앱은 매니페스트에 특별한 권한이 없어도 Pixnapping을 실행할 수 있습니다. 그러나 이 공격을 위해서는 피해자가 악성 앱을 설치하고 실행해야 하는데, 이는 주로 소셜 엔지니어링이나 속임수를 통해 이루어집니다.
기술적 메커니즘: GPU 사이드 채널 및 윈도우 블러 악용
픽스내핑은 이전에 공개된 GPU.zip 사이드 채널(2023년 9월)을 기반으로 합니다. 이 사이드 채널은 내장 GPU의 압축 기능을 활용하여 브라우저의 교차 출처 픽셀을 훔쳤습니다. 새로운 공격은 이 개념을 안드로이드의 윈도우 블러 API와 결합하여 피해자 앱의 픽셀을 훔칠 수 있도록 확장합니다.
이 과정은 다음과 같이 진행됩니다.
- 악성 앱이 피해자 앱 픽셀을 렌더링 파이프라인으로 보냅니다.
- 반투명 활동은 Android 인텐트를 사용하여 오버레이되어 대상 픽셀을 마스크하고 확대하고 전송합니다.
안드로이드가 취약한 이유: 세 가지 요인
연구자들은 픽스내핑이 가능해지는 데에는 세 가지 조건이 있다고 밝혔습니다.
- 다른 앱의 활동을 Android 렌더링 파이프라인에 주입합니다.
- 이러한 픽셀에 그래픽 작업(흐림 등)을 유도합니다.
- 민감한 정보를 추론하기 위해 픽셀 색상에 따른 부작용을 측정합니다.
Google의 대응 및 보안 업데이트
구글은 CVE-2025-48561(CVSS 5.5) 취약점으로 픽스내핑을 추적했습니다. 2025년 9월 안드로이드 보안 게시판에 패치가 공개되어 공격을 부분적으로 완화했습니다. 이 패치는 과도한 블러링을 사용하여 픽셀을 훔칠 수 있는 시나리오를 해결합니다.
두 번째 패치는 2025년 12월로 예정되어 있으며, 타이밍 조정을 통해 픽스내핑을 다시 활성화하는 새로운 공격 벡터를 차단합니다. 구글은 악용에 기기별 데이터가 필요하며, 구글 플레이에서 이 결함을 악용하는 악성코드가 활성화되어 있지 않음을 확인했습니다.
추가 위험: 앱 감지 및 개인 정보 보호 영향
픽스내핑을 이용하면 공격자가 기기에 설치된 앱을 감지하여 앱 목록을 숨기도록 설계된 Android 11 이후의 제한을 우회할 수도 있습니다.
이 공격은 앱이 OS 전반에 걸쳐 광범위하게 상호 작용하는 시스템인 모바일 앱 계층화에 내재된 위험을 부각시킵니다. 계층화된 앱 기능을 완전히 제한하는 것은 비현실적입니다. 대신, 방어는 민감한 앱의 옵트아웃을 허용하고 공격자의 측정 기능을 제한하는 데 집중할 수 있습니다.
사용자를 위한 주요 정보
픽스냅은 높은 앱 권한 없이도 작동하는 매우 은밀한 공격으로, 특히 교활합니다. 사용자가 신뢰할 수 없는 출처의 앱을 설치할 경우 악성 애플리케이션이 이 취약점을 악용하여 민감한 정보에 접근할 수 있으므로 위험이 커집니다. 구글은 이 문제를 해결하기 위해 부분적인 패치를 발표했지만, 2025년 12월에 완전한 완화 조치가 나올 것으로 예상됩니다. 그동안 사용자는 2FA 앱과 기타 민감한 데이터를 면밀히 모니터링하여 비정상적인 활동의 징후가 있는지 주의 깊게 살펴야 합니다.
