구글 OTP 30초 만에 탈취? ‘픽스내핑(Pixnapping)’ 공격 등장

by 이스트시큐리티 마케팅팀

 

 

안녕하세요, 이스트시큐리티입니다.

 

최근 사이버 보안 업계에 새로운 경고등이 켜졌습니다. 안드로이드 기기에서 단 30초 만에 구글 OTP 코드 등 민감한 화면 정보를 훔쳐낼 수 있는 ‘픽스내핑(Pixnapping)’ 공격이 등장한 것입니다. 이름만 보면 귀엽지만, 그 방식은 결코 단순하지 않습니다.

 

 

 

 

 

픽스내핑(Pixnapping) 공격이란?

‘픽스내핑’은 픽셀(Pixel) + 납치(Kidnapping)의 합성어로, 안드로이드의 화면 렌더링 과정을 악용한 사이드 채널 공격(Side-channel Attack)입니다.

연구팀은 이 공격이 안드로이드 핵심 API와 GPU 하드웨어 모두의 취약점을 동시에 노리는 ‘이중 구조’라는 점을 밝혔습니다.

 

공격자는 앱 권한을 별도로 요청하지 않고도, 사용자의 화면 위에 투명한 오버레이(overlay)를 덧씌워 픽셀 색상 변화를 감지합니다. 이후 GPU 데이터 압축 과정에서 생기는 렌더링 시간 차이를 정밀 측정해 화면 정보를 재구성합니다. 이 방식으로 구글 OTP, 결제정보, 메신저 내용 등 주요 앱의 민감 정보를 가로챌 수 있습니다.

 

 

[이미지 출처: Cybernews]

*픽스내핑(Pixnapping) 공격의 단계별 흐름 — 픽셀 단위 정보 수집 → 마스킹·확대 → GPU 렌더링 시간 차로 인코딩·전송하여 화면 내용을 재구성.

 

공격자는 앱 권한을 별도로 요청하지 않고도, 사용자의 화면 위에 투명한 오버레이(overlay)를 덧씌워 픽셀 색상 변화를 감지합니다. 이후 GPU 데이터 압축 과정에서 생기는 렌더링 시간 차이를 정밀 측정해 화면 정보를 재구성합니다.

이 방식으로 구글 OTP, 신용카드 결제 화면, 시그널(Signal), 벤모(Venmo), 지메일(Gmail) 등 주요 앱의 보안 코드를 가로챌 수 있습니다.

 

 

 

어떤 기기가 영향을 받을까?

 

 

연구 결과, 픽스내핑 공격은 구글 픽셀 6~9 시리즈, 삼성 갤럭시 S25 등 최신 안드로이드 기기에서도 작동하는 것으로 확인되었습니다. 즉, '최신 폰은 안전하다'는 믿음이 더 이상 통하지 않게된 것인데요.

 

구글은 해당 취약점을 ‘CVE-2025-48561’로 지정하고, 2025년 9월 보안 패치를 통해 픽셀 기기용 긴급 대응을 완료했습니다. 하지만 아직 패치가 적용되지 않은 기기에서는 동일한 방식의 공격이 충분히 가능하다는 점이 문제입니다.

 

 

🔍 픽스내핑의 핵심 포인트 요약

 

▫️  공격 방식: 안드로이드 GPU 압축 과정(GPU.zip) 악용

▫️  필요 권한: 없음 (사용자 승인 없이 실행 가능)

▫️  공격 대상: 구글 픽셀 6~9, 삼성 갤럭시 S25 등

▫️  위험 수준: 구글 CVE 기준 ‘높음(High severity)’

▫️  영향 범위: OTP, 인증코드, 결제, 메신저 등 화면 기반 보안 정보

 

 

 

[출처] Cybernews – “Pixnapping attack enables hackers to snoop on Android screens” (2025)

[참고] Google CVE-2025-48561 Security Bulletin

 

사용자가 반드시 지켜야 할 보안 수칙

 

☑︎ 의심스러운 오버레이 앱 설치 금지

배경 투명 효과나 화면 겹치기 기능을 가진 앱은 설치를 피하세요.

 

☑︎ 보안 패치 즉시 업데이트

구글, 삼성에서 배포한 최신 보안 패치를 즉시 적용하세요.

 

☑︎ OTP 사용 시 화면 캡처 허용 설정 확인

앱 내 ‘화면 보호’ 옵션을 활성화해 정보 노출을 최소화하세요.

 

☑︎ 스마트폰 보안 앱 상시 구동

픽셀 단위 데이터 접근을 시도하는 의심 프로세스를 탐지하는 보안 솔루션을 사용하세요.

 

☑︎ 알 수 없는 앱의 ‘화면 위 표시 권한’ 차단

설정 → 보안 → 권한 관리에서 ‘다른 앱 위에 표시’ 항목을 점검하세요.

 

 

 

알약M으로 한 단계 더 강력한 보호

‘픽스내핑(Pixnapping)’처럼 권한 없이 실행되는 보이지 않는 공격은 사용자가 직접 감지하기 어렵습니다. 이럴 때 필요한 것은 AI 기반 위협 탐지 기능을 갖춘 보안 솔루션입니다. 알약M 자세히 보기 >

 

 

💡 알약M 주요 기능 

 

1. AI 기반 실시간 위협 탐지
   • 클라우드 기반 AI 분석 시스템을 통해 신종·변종 악성앱과 스미싱을 즉시 탐지.
   • 국내 최대 스미싱 탐지 DB와 AI 분석을 결합한 고도화된 탐지 구조.
2. 권한 없는 화면 접근 차단
   • 알림 접근 및 권한 제어 기능을 활용해, 악성 앱이 화면이나 알림을 가로채는 시도를 실시간 감지·차단.
3. 문자·메신저 알림 실시간 분석
   • 수신 알림을 분석해 스미싱 여부를 식별하고, 악성 링크·메시지를 즉시 차단.
4. 악성 APK 설치 실시간 검사
   • 신규 앱 설치 시 클라우드 분석과 AI 엔진으로 자동 진단하여 위험 요소를 즉시 차단.

 

 

 

최신 보안 위협은 보이지 않게 침투합니다. 알약M은 실시간 AI 분석과 클라우드 탐지 체계로 스마트폰의 숨은 공격 통로까지 안전하게 지켜드립니다. 아래 배너를 클릭하고, 알약M의 다양한 케어 기능을 지금 바로 확인해보세요.