퀄컴 Adreno GPU 제로데이 취약점 패치: 사용자 주의 요망 (2025년 6월)

Qualcomm에서 Adreno GPU에서 발견된 제로데이 취약점 3건을 수정하는 패치를 발표했습니다. 이 취약점들은 2025년 1월부터 악용되고 있었으며, OEM 업체들은 즉시 패치를 적용해야 합니다. 현재까지 구체적인 악용 사례는 밝혀지지 않았지만, 사용자들은 여전히 주의를 기울여야 합니다.

Adreno GPU 제로데이 취약점 상세 정보

이번에 패치된 취약점은 CVE-2025-21479, CVE-2025-21480, CVE-2025-27038의 3가지입니다. CVE-2025-21479와 CVE-2025-21480은 Graphics 컴포넌트의 잘못된 권한 부여 결함으로, 메모리 손상을 일으킬 수 있습니다. 심각도는 10점 만점에 8.6점으로 높은 수준입니다. CVE-2025-27038은 Graphics 컴포넌트의 Use-After-Free 취약점으로, 역시 메모리 손상을 유발할 수 있습니다. 심각도는 7.5점으로 상대적으로 낮습니다.

Qualcomm의 권고 사항

Qualcomm은 Google Threat Analysis Group의 정보를 인용하여 CVE-2025-21479, CVE-2025-21480, CVE-2025-27038이 제한적이고 표적화된 방식으로 악용되고 있을 가능성이 있다고 밝혔습니다. Adreno GPU 드라이버에 영향을 미치는 문제에 대한 패치는 5월에 OEM 업체에 제공되었으며, Qualcomm은 영향을 받는 장치에 가능한 한 빨리 업데이트를 배포할 것을 강력히 권고했습니다.

OEM 업체의 대응

이제 Samsung, Google, OnePlus, Xiaomi 등 다양한 장치 제조업체가 자사 제품에 이러한 패치를 적용해야 합니다. 영향을 받는 장치는 Snapdragon 8 Gen 2 및 Gen 3과 같은 플래그십 모델뿐만 아니라 Snapdragon 695, 778G 및 4 Gen 1/2와 같은 중간 및 보급형 플랫폼을 포함하여 광범위한 Qualcomm 칩셋을 포함합니다.

악용 사례 및 과거 유사 사례

현재까지 이러한 결함을 누가, 누구를 대상으로, 어떤 목적으로 악용했는지에 대한 구체적인 정보는 없습니다. 그러나 과거 Variston 및 Cy4Gate와 같은 스파이웨어 캠페인에서 유사한 취약점이 사용된 사례가 있습니다. 또한 Serbian 비밀 정보국인 BIA가 2024년 12월에 기자, 활동가 및 시위대에게서 압수한 Android 장치를 잠금 해제하기 위해 Qualcomm 버그 (CVE-2024-43047)를 사용했다는 주장도 있습니다.

결론

Qualcomm Adreno GPU의 제로데이 취약점은 사용자에게 심각한 위협이 될 수 있습니다. 사용자들은 제조사에서 제공하는 최신 보안 업데이트를 즉시 설치하여 이러한 위협으로부터 자신을 보호해야 합니다. 지속적인 관심과 업데이트만이 안전한 모바일 환경을 유지하는 길입니다.