스파이웨어 위협은 이미 기자·활동가·정치인의 문제가 아니다. Pegasus와 Predator 같은 용병 스파이웨어가 일반 소비자 기기를 겨냥하는 사례가 꾸준히 늘고 있고, 공격 방식은 점점 정교해지고 있다. 이 글은 iOS와 Android 각각의 핵심 보안 설정을 직접 켜고, 감염 징후를 스스로 점검하고, 의심 상황에서 어떻게 행동할지를 단계별로 안내한다.
제로클릭 공격이란: 클릭 한 번 없이 감염되는 원리
일반적인 피싱 공격은 링크를 클릭하거나 파일을 열어야 작동한다. 제로클릭(zero-click) 공격은 다르다. 피해자가 아무 행동을 하지 않아도, 메시지를 수신하거나 이미지가 렌더링되는 순간 코드가 실행된다.
이 공격이 가능한 이유는 스마트폰 OS가 수신 콘텐츠를 자동으로 파싱하기 때문이다. iMessage는 미디어를 미리보기 위해 자동으로 디코딩하고, 이미지 렌더링 엔진은 파일 수신과 동시에 처리를 시작한다. Pegasus가 즐겨 악용해온 경로가 바로 이 지점이다. WebKit 파서의 취약점, iMessage 미디어 처리 루틴, 그리고 GIF·PDF 렌더링 엔진이 주요 표적이다.
Apple이 iOS 26.2(iOS 18.7.3 포함)에서 패치한 CVE-2025-43529, CVE-2025-14174는 모두 WebKit 제로데이로, 실제 표적 스파이웨어 공격에 악용된 것이 확인된 사례다. “Actively exploited in the wild”라는 문구가 Apple 보안 공지에 붙어 있었다는 것은, 누군가 실제로 이 취약점을 이용해 특정 인물의 기기를 침해했다는 의미다.
일반 사용자가 표적이 될 가능성은 저널리스트나 인권 활동가보다 낮다. 하지만 낮다는 것이 없다는 뜻은 아니다. 취약한 기기는 opportunistic 공격의 대상이 될 수 있고, 가족이나 지인을 통해 간접 표적이 될 수도 있다. 현실적인 위협 수준을 인정하되, 대응 가능한 설정은 지금 바로 켜두는 것이 합리적이다.
iOS 핵심 보안 설정: 잠금 모드부터 업데이트까지
업데이트부터
가장 먼저 해야 할 일은 iOS를 최신 버전으로 올리는 것이다. CVE-2025-43529와 CVE-2025-14174가 패치된 버전은 iOS 26.2(및 iOS 18.7.3)다. 설정 앱 → 일반 → 소프트웨어 업데이트로 이동해 현재 버전을 확인한다. 자동 업데이트도 켜두는 것이 좋다. 같은 경로에서 자동 업데이트 탭 → 보안 대응 및 시스템 파일을 활성화하면 긴급 보안 패치(Rapid Security Response)가 자동 적용된다.
잠금 모드(Lockdown Mode) 활성화
잠금 모드는 Apple이 극한의 위협 환경에 처한 사용자를 위해 설계한 강화 모드다. 활성화 경로는 설정 → 개인 정보 보호 및 보안 → 잠금 모드 → 잠금 모드 켜기다. 재시동이 필요하다.
이 모드가 차단하는 것들: 알 수 없는 발신자의 iMessage 첨부 파일 미리보기, FaceTime 초대(연락처 외), 대부분의 웹 기술(일부 WebAssembly, JIT 컴파일), 유선 연결 시 기기 데이터 접근. 웹 브라우징 속도가 느려지고 일부 앱 기능이 제한된다는 점은 솔직하게 인지해야 한다.
Apple은 2026년 3월 공식적으로 확인했다: 잠금 모드를 활성화한 기기에서 용병 스파이웨어에 의한 해킹 성공 사례는 단 한 건도 없었다. 이것은 주목할 만한 수치다. 완벽한 보호가 아니라 “지금까지 뚫린 적 없다”는 실증 기록이라는 점에서 더 의미 있다.
일상적인 사용에서 잠금 모드의 제약이 크게 느껴진다면, 최소한 아래 설정들은 반드시 적용한다.
iMessage 필터 및 링크 미리보기 제한
설정 → 메시지 → 알 수 없는 발신자 필터링을 켠다. 연락처에 없는 번호에서 오는 메시지가 별도 탭으로 분리되고, 링크는 자동 미리보기되지 않는다. 이 설정 하나만으로도 제로클릭 공격 표면의 상당 부분이 줄어든다.
Safari 설정에서는 설정 → Safari → 고급 → JavaScript를 끌 수 있다. 하지만 JavaScript 없이는 대부분의 웹사이트가 정상 작동하지 않으므로, 실용적인 대안은 잠금 모드 사용 시 Safari의 기본 동작(이미 JIT 비활성화)을 믿는 편이 낫다.
Android 핵심 보안 설정: 침입 로깅과 Play Protect 강화
침입 로깅(Intrusion Logging) 활성화
Google이 2026년 5월 12일 출시한 침입 로깅은 Android 16 December 업데이트 이상 기기에서 사용할 수 있다. Amnesty International과 공동 개발한 이 기능은 기기의 보안 관련 이벤트를 암호화된 포렌식 로그로 Google 계정에 12개월간 보관한다. 감염 의심 시 전문가가 이 로그를 분석해 공격 흔적을 추적할 수 있다.
활성화 경로: 설정 → 보안 및 개인 정보 보호 → 보안 → 침입 로깅. 기기와 Android 버전에 따라 메뉴 위치가 약간 다를 수 있다. 설정 앱 상단 검색창에 “침입 로깅” 또는 “Intrusion Logging”을 입력하면 바로 찾을 수 있다.
Google Play Protect의 한계를 알고 사용하기
Play Protect는 기본 활성화 상태지만 탐지율이 문제다. AV-Comparatives의 2025년 스토킹웨어 탐지 테스트에서 Google Play Protect의 탐지율은 **53%**에 그쳤다. 절반에 가까운 스토킹웨어·스파이웨어를 잡지 못한다는 의미다.
같은 테스트에서 Malwarebytes는 100%, ESET·Bitdefender·McAfee·Kaspersky는 단 1건을 제외하고 전수 탐지했다. Play Protect 강화 스캔은 켜두되(설정 → 보안 → Google Play Protect → 앱 스캔), 위협 환경이 우려된다면 Malwarebytes 또는 ESET 같은 서드파티 앱을 병행하는 것이 현실적이다.
알 수 없는 출처 설치 차단, USB 디버깅 비활성화
설정 → 앱 → 우측 상단 메뉴 → 특별한 앱 액세스 → 알 수 없는 앱 설치에서 각 앱의 설치 허용 여부를 확인한다. 브라우저나 파일 관리자에 허용이 켜져 있다면 끈다.
USB 디버깅은 개발자 옵션에서 비활성화한다. 설정 → 개발자 옵션 → USB 디버깅 끄기. 개발자 옵션 자체를 비활성화해도 된다. ADB를 통한 USB 연결은 물리적 접근이 있을 때 공격 경로가 될 수 있다.
공통 방어 설정: 앱 권한·계정·네트워크 최소화
앱 권한 전수 점검
iOS는 설정 → 개인 정보 보호 및 보안에서 마이크, 카메라, 위치, 연락처, 사진 각 항목을 탭하면 접근 허용 앱 목록이 나온다. Android는 설정 → 개인 정보 보호 → 권한 관리자에서 같은 방식으로 확인한다.
원칙은 단순하다: 사용하지 않는 앱은 권한을 끊는다. 플래시라이트 앱에 마이크 권한이 필요한 이유는 없다. 위치 권한은 “앱 사용 중에만”으로 제한하고, 백그라운드 위치 접근은 지도·날씨처럼 명확한 이유가 있는 앱에만 허용한다.
2FA 강화
SMS 기반 2FA는 SIM 스왑 공격에 취약하다. Google Authenticator, Authy, 또는 Apple의 기본 인증 앱처럼 TOTP 기반 인증 앱으로 전환하는 것이 낫다. 위협 수준이 높다고 판단되면 YubiKey 같은 하드웨어 보안 키를 고려한다.
공용 Wi-Fi와 블루투스
공용 Wi-Fi에서의 VPN은 트래픽 도청 방어에 유효하지만, 제로클릭 스파이웨어 감염 자체를 막지는 못한다. 그보다 더 중요한 것은 자동 Wi-Fi 연결과 블루투스를 꺼두는 것이다. iOS는 설정 → Wi-Fi → 알려진 네트워크에서 “자동 연결” 개별 비활성화, Android는 설정 → 네트워크 → Wi-Fi → 저장된 네트워크에서 관리한다. 블루투스는 사용하지 않을 때 끈다. 공격 표면을 줄이는 가장 직접적인 방법이다.
감염 징후 점검: 스스로 의심할 수 있는 신호들
스파이웨어는 대부분 조용히 작동하도록 설계되지만 흔적을 완전히 지우지는 못한다.
행동 지표로는 배터리가 평소보다 30% 이상 빠르게 소모되거나, 이유 없이 기기가 뜨거워지거나, 모바일 데이터 사용량이 갑자기 치솟는 경우가 있다. 특히 야간 충전 중에 발열이 지속된다면 백그라운드 프로세스를 의심할 수 있다. Android의 설정 → 배터리 → 배터리 사용량, iOS의 설정 → 배터리에서 앱별 소모량을 확인한다.
더 정밀한 점검이 필요하다면 **MVT(Mobile Verification Toolkit)**를 사용한다. Amnesty International이 개발한 오픈소스 도구로, 기기에 앱을 설치하는 방식이 아니다. PC에서 pip install mvt로 설치 후, iOS는 iTunes 백업을 분석하고 Android는 ADB를 통해 기기 로그를 추출한다. Pegasus 등 알려진 스파이웨어의 IOC(침해지표)와 대조해 의심 패턴을 탐지한다.
iOS 사용자는 iMazing으로 PC에서 기기 백업을 만들고 MVT 분석에 활용할 수 있다. iMazing은 유료지만 무료 체험 범위 안에서 백업 생성은 가능하다.
네트워크 연결 이상을 직접 보고 싶다면, iOS에서는 설정 앱의 모바일 데이터 항목에서 앱별 사용량을, Android에서는 설정 → 네트워크 → 데이터 사용량 → 앱별 네트워크 사용량에서 확인한다. 알 수 없는 앱이 대량 데이터를 사용 중이라면 경계 신호다.
감염이 의심될 때 대응 절차
의심스러운 징후를 발견했다면 순서가 중요하다. 순서를 잘못 바꾸면 포렌식 증거가 사라진다.
1. 즉시 격리: 비행기 모드를 켜고, Wi-Fi와 블루투스를 수동으로 각각 끈다. 비행기 모드만으로는 Wi-Fi가 자동 재활성화될 수 있어서 반드시 수동 비활성화가 필요하다.
2. 증거 보존: 공장 초기화 전에 스크린샷, MVT 로그, iMazing 백업을 확보한다. 초기화 후에는 기기 내 모든 데이터가 삭제되어 전문 분석이 불가능해진다. 클라우드 백업이 자동으로 올라가고 있었다면 iCloud 또는 Google 드라이브를 잠시 비활성화해 증거 훼손을 막는다.
3. 전문 기관에 연락: 개인이 직접 분석하기 어렵다면 두 가지 경로가 있다.
- Amnesty International Security Lab: 언론인·활동가·위기 상황의 개인을 대상으로 기기 포렌식 분석 지원을 제공한다.
- Access Now Digital Security Helpline: accessnow.org/help를 통해 디지털 보안 위기 상황의 개인을 지원한다. 한국어 지원 여부는 직접 확인이 필요하다.
4. 공장 초기화: 증거 보존이 완료된 후에만 실행한다. iOS는 설정 → 일반 → 기기 전송 또는 재설정 → 모든 콘텐츠 및 설정 지우기, Android는 설정 → 일반 관리 → 초기화 → 공장 초기화 순으로 진행한다. 초기화 후 iCloud·Google 계정 비밀번호를 즉시 변경하고, 재설치하는 앱을 최소한으로 줄인다.
자주 묻는 질문
Q. 잠금 모드를 켜면 일상적으로 얼마나 불편한가?
잠금 모드 활성화 후 가장 크게 느껴지는 제한은 세 가지다. 첫째, 연락처에 없는 사람의 FaceTime 수신이 차단된다. 둘째, Safari에서 일부 웹사이트가 느리거나 레이아웃이 깨진다. 셋째, Mac에 USB로 연결할 때 데이터 접근이 차단되어 사진 전송 등을 따로 처리해야 한다. 반대로 음성 통화, 문자, 앱 설치, 대부분의 앱 기능은 정상 작동한다. 취재 현장에 있는 기자나 공격 표적이 될 가능성이 있는 환경에 있다면, 이 정도 불편은 감수할 가치가 있다고 판단하는 것이 합리적이다.
Q. Google Play Protect 탐지율이 53%라면 Android는 iOS보다 위험한가?
제로클릭 취약점 수나 노출 빈도를 단순 비교하기는 어렵다. iOS와 Android 모두 지속적으로 취약점이 발견되고 패치된다. Play Protect의 53%는 스토킹웨어 특화 테스트 결과이며, 고도화된 국가 지원 스파이웨어 탐지 능력과는 다른 차원이다. Android의 경우 Play Protect의 한계를 알고 서드파티 솔루션을 병행하거나, 침입 로깅을 켜서 사후 탐지 능력을 보완하는 전략이 현실적이다.
Q. VPN을 쓰면 스파이웨어를 막을 수 있나?
아니다. VPN은 네트워크 트래픽을 암호화해서 공용 Wi-Fi 같은 환경에서의 도청을 방어하지만, 기기 자체의 소프트웨어 취약점을 통한 감염은 막지 못한다. Pegasus 같은 제로클릭 스파이웨어는 이미 기기 안에서 작동하므로 VPN 여부와 무관하게 데이터를 유출한다. VPN은 유용한 도구지만, 스파이웨어 방어 관점에서는 업데이트와 잠금 모드가 훨씬 우선순위가 높다.
Q. 의심스러운 앱을 삭제하면 감염이 해결되나?
아니다. Pegasus 같은 고도화된 스파이웨어는 단순 앱 형태로 설치되지 않는다. 커널 레벨에 침투하거나 시스템 프로세스에 숨어들어 앱 삭제만으로는 제거되지 않는다. 감염이 확인되거나 강하게 의심된다면 공장 초기화만이 현실적인 대응이다. 그 전에 반드시 MVT 로그와 스크린샷으로 증거를 보존한다.