구글이 자기 폰을 뜯었다: 픽셀 10 '클릭 0번' 해킹의 충격

“클릭 한 번도 안 했는데 폰이 털렸다고요?” 농담 같지만 이게 2026년 모바일 보안의 현실입니다. 더 충격적인 건, 이 사실을 폭로한 곳이 다름 아닌 구글 본인이라는 점입니다. 구글의 엘리트 보안팀 Project Zero가 자사 플래그십 픽셀 10을 해부해 제로클릭 익스플로잇 체인을 공개했거든요.

제로클릭이 도대체 뭐길래

먼저 용어부터 짚고 갑시다. 제로클릭(zero-click) 익스플로잇은 말 그대로 사용자의 어떤 행동도 필요 없이 기기를 침투하는 공격입니다. 의심스러운 링크를 누르지 않아도, 첨부파일을 열지 않아도 됩니다. 그냥 메시지 한 통이 도착하는 것만으로, 혹은 백그라운드에서 처리되는 미디어 파일 하나만으로 폰의 제어권이 넘어갑니다.

기존의 “수상한 링크는 누르지 마세요” 같은 보안 수칙이 통째로 무력화되는 셈인데요. 더 무서운 건 사용자가 공격당했는지조차 모른다는 점입니다. 화면에 아무것도 뜨지 않으니까요.

왜 픽셀 10이 충격적인가

픽셀은 단순한 안드로이드 폰이 아닙니다. 구글이 직접 설계한 텐서(Tensor) 칩셋, 구글이 직접 만지는 안드로이드 코드, 구글이 직접 푸시하는 보안 패치까지. 안드로이드 진영의 레퍼런스 디바이스이자 보안의 모범 답안으로 여겨지는 기기입니다.

그런 픽셀 10에서 익스플로잇 체인이 발견됐다는 건 의미가 큽니다. 체인(chain)이라는 단어가 중요한데요. 단일 버그 하나로 끝나는 게 아니라, 여러 취약점을 사슬처럼 엮어 권한을 단계적으로 끌어올리는 정교한 공격이라는 뜻입니다. 메시지 파싱 → 메모리 손상 → 샌드박스 탈출 → 커널 권한 획득. 이런 식의 다단계 공격입니다.

Project Zero가 자기 회사를 공격하는 이유

여기서 흥미로운 지점이 나옵니다. Project Zero는 구글이 2014년에 만든 0-day 헌터 팀입니다. 원래는 마이크로소프트, 애플 같은 경쟁사 제품의 취약점을 찾아 90일 공개 정책으로 압박하는 것으로 유명했죠. 그런데 이번엔 칼끝이 자기 회사를 향했습니다.

이건 보안 업계에서 굉장히 건강한 신호입니다. 내부 견제가 작동한다는 증거니까요. 구글 입장에서 보면 자기 플래그십이 뚫린다는 사실을 공개하는 건 마케팅적으로는 손해입니다. 하지만 어차피 NSO 그룹 같은 상용 스파이웨어 업체나 국가 단위 공격자들은 이런 취약점을 비공개로 사들여 쓰고 있습니다. 차라리 내부에서 먼저 찾아내 패치하는 게 낫다는 판단이죠.

모바일 보안의 패러다임은 이미 바뀌었다

페가수스(Pegasus) 스파이웨어 사건 이후로 모바일 보안의 게임 룰은 완전히 바뀌었습니다. 더 이상 “조심하면 안 당한다"의 영역이 아닙니다. 활동가, 언론인, 정치인을 노리는 표적 공격에서는 아이폰이든 픽셀이든 가리지 않고 제로클릭으로 뚫립니다.

애플이 락다운 모드(Lockdown Mode)를 도입한 것도, 구글이 어드밴스드 프로텍션(Advanced Protection)을 강화한 것도 이런 흐름의 산물입니다. 일반 사용자에게는 과한 기능 같지만, 표적이 될 가능성이 있는 사람들에게는 생존 도구입니다.

일반 사용자는 무엇을 해야 하나

솔직히 말씀드리면, 일반 사용자가 국가 단위 공격자의 제로클릭을 100% 막을 방법은 없습니다. 다만 공격 비용을 올리는 건 가능합니다. 최신 보안 패치 즉시 적용, 메시지 앱에서 자동 미리보기 비활성화, 사용하지 않는 메시징 앱 제거, 그리고 정말 민감한 직군이라면 락다운 모드급의 강화 옵션 활성화. 이 정도가 현실적인 방어선입니다.

이번 Project Zero의 픽셀 10 공개는 단순한 버그 리포트가 아니라 모바일 보안의 현주소에 대한 솔직한 자백에 가깝습니다. 가장 잘 만든 폰도 뚫린다는 사실, 그리고 그걸 가장 잘 만든 회사가 인정한다는 사실. 어쩌면 이게 우리가 받을 수 있는 가장 정직한 보안 보고서일지도 모르겠습니다. 여러분의 폰은, 정말로 안전하다고 자신할 수 있으신가요?