왓츠앱 제로데이 취약점, 애플 이미지IO 제로데이와 결합해 iOS·Mac 사용자 공격

왓츠앱이 iOS와 맥OS용 메시징 앱에서 발견된 제로클릭 취약점을 긴급히 패치했다. 이 취약점은 애플의 이미지IO 제로데이와 결합해 특정 인물을 겨냥한 정교한 공격에 악용된 것으로 확인됐다. 회사 측은 이 버그(CVE-2025-55177)가 왓츠앱의 기기 연동 동기화 기능 처리 과정에서 발생했다고 설명했다.

왓츠앱 보안 권고문에 따르면 기기 연동 동기화 메시지에 대한 불완전한 인증 때문에 공격자가 사용자의 조작 없이 임의의 URL을 강제로 처리하게 만들 수 있었다. 이 취약점은 iOS용 왓츠앱 2.25.21.73 이전 버전, iOS용 왓츠앱 비즈니스 2.25.21.78 이전 버전, Mac용 왓츠앱 2.25.21.78 이전 버전에서 영향을 끼쳤다. 최신 버전으로 업데이트하면 문제가 해결된다.

왓츠앱은 이번 공격이 애플의 제로데이(CVE-2025-43300)와 결합해 사용됐다고 밝혔다. 이 취약점은 이미지IO의 메모리 손상(out-of-bounds write) 버그로, 악성 이미지를 처리하는 순간 기기를 장악할 수 있다. 애플은 지난주 긴급 보안 업데이트(iOS 18.6.2/17.7.10, macOS Sequoia 15.6.1·Sonoma 14.7.8·Ventura 13.7.8)를 통해 해당 문제를 패치하며 매우 정교한 공격에 사용됐다고 경고했다.

패치와 함께 왓츠앱은 최근 90일간 악성 스파이웨어 공격을 당한 일부 사용자에게 위협 알림을 보냈다. 알림에는 “운영체제가 악성코드에 이미 감염됐을 수 있으며 앱 업데이트만으로는 충분하지 않다”는 경고가 담겼다. 왓츠앱은 해당 사용자들에게 기기 초기화(공장 초기화)를 수행하고, 운영체제와 앱을 최신 상태로 유지할 것을 권고했다. 국제인권단체인 국제앰네스티 보안랩도 이와 관련된 사례를 조사 중이라고 밝혔다.

이번 사례는 올해 들어 두 번째 제로클릭 스파이웨어 공격이다. 지난 3월 왓츠앱은 또 다른 제로데이 취약점을 패치했는데, 당시 캐나다 토론토대학 시티즌랩 연구진은 이 취약점이 패러곤(Paragon)의 ‘그래파이트(Graphite)’ 스파이웨어 유포에 악용됐다고 보고했다. 왓츠앱은 당시에도 언론인과 시민단체 관계자 등 특정 인물을 대상으로 한 공격을 차단했다고 발표했다.

보안 전문가들은 이번 사례가 보여주듯, 앱 취약점과 운영체제 취약점이 결합될 때 공격은 훨씬 강력해진다고 경고했다. 단순히 앱만 업데이트하는 것으로는 위험을 막을 수 없으며, 반드시 운영체제 보안 업데이트까지 적용해야 한다. 또한 위협 알림을 받은 경우 공장 초기화 같은 강력한 조치가 필요하다.

[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업

개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명