새로운 Android 공격 기법 '픽스내핑(Pixnapping)': GPU 사이드 채널을 이용한 화면 정보 탈취 심층 분석

핵심 기술

새로운 Android 공격 기법인 '픽스내핑(Pixnapping)'은 악성 앱이 Android API와 GPU 하드웨어 사이드 채널을 악용하여, 사용자의 명시적 권한 없이도 다른 앱이나 웹사이트 화면에 표시되는 개인 정보를 몰래 훔치는 기법입니다.

기술적 세부사항

• 공격 원리: 악성 앱이 타깃 앱(예: Google Authenticator)을 호출하여 민감 정보가 렌더링되도록 유도한 후, GPU 하드웨어의 사이드 채널(GPU.zip)을 활용하여 특정 픽셀에 그래픽 연산(블러 등)을 강제 적용하고, 이를 통해 픽셀 정보를 한 픽셀씩 추출하여 화면 내용을 복구합니다.
• 악용 기법: window blur API와 VSync 콜백을 사용하여 렌더링 시간을 측정하고 픽셀 추출에 활용하며, 앱 매니페스트 파일에 별도 권한 선언 없이도 공격이 가능합니다.
• 영향 범위: Android 13~16을 탑재한 Google Pixel 6, 7, 8, 9, Samsung Galaxy S25 등 최신 기기 대부분에 영향을 미치며, Gmail, Signal, Google Authenticator, Venmo, Google Maps 등 다수의 유명 앱이 피해 대상이 될 수 있습니다.
• 취약점: 화면에 표시되는 모든 정보(채팅, 인증코드, 이메일 등)가 타깃이 될 수 있으나, 화면에 노출되지 않는 내부 정보는 유출 불가합니다.
• App List Bypass: 별도 권한이나 매니페스트 선언 없이 설치된 타 앱 목록을 식별할 수 있는 취약점이 함께 존재합니다.
• CVE 등재: CVE-2025-48561로 공식 등재되었습니다.
• 현재 상황: Google과 GPU 벤더 모두 즉각적이고 확실한 패치나 대응책이 부족한 상황이며, Google은 'app list bypass' 취약점에 대해 'Infeasible(불가)' 판정을 내리고 별도 조치를 취하지 않았습니다. Google은 Pixnapping 및 app list bypass의 위험 등급을 High/Low로 분류했으나 일부 패치는 미흡하거나 불가(Fix 불가)로 결론지었습니다.

개발 임팩트

• 이 공격은 Android의 앱 권한 구조와 하드웨어 동작의 복합적인 허점을 이용하므로, 소프트웨어 및 하드웨어 보안 모두에 대한 구조적인 보완책 마련이 시급합니다.
• 개발자는 사용자에게 민감한 정보를 표시할 때, 픽셀 추출 방어를 위한 추가적인 보안 로직(예: 암호 코드 위치 고정 방지, 백그라운드 숨김, 색상/명암 변경, 짧은 깜빡임 등)을 고려해야 합니다.
• 보안 업데이트의 중요성이 강조되며, 사용자에게 최신 보안 패치를 즉시 설치하도록 권장해야 합니다.

커뮤니티 반응

• Android의 기본 권한 시스템(백그라운드 실행, 인터넷 접근)이 문제라는 의견과 함께, GrapheneOS와 같이 명시적 권한 요구 및 인터넷 접근 거부 기능을 제공하는 OS의 중요성이 언급되었습니다.
• 공격 원리 이해에 대한 어려움과 함께, 개발자로서 사용자를 보호하기 위한 다양한 방어 기법(예: 코드 움직이기, 색상 변경, 노이즈 표시, 짧은 깜빡임)이 제안되었습니다.
• Google Authenticator의 과거 TOTP 코드 표시 롤백 사례와 관련하여, 이번 결함에 대한 사전 대처였는지에 대한 궁금증이 제기되었습니다.
• 패치가 나왔음에도 불구하고 우회책이 존재하여 완전하지 않다는 점, 그리고 GPU 벤더와 Google의 대응 부족에 대한 비판적인 시각이 존재합니다.