- 제로데이 취약점을 악용한 악성 PDF 캠페인이 2025년 12월부터 꾸준히 발생 중임
- 공개된 보안 패치가 없어 기업·개인 모두 광범위한 위험에 노출
- 기존 보안 솔루션이 탐지에 한계가 있으므로 사용자 주의와 다계층 보안이 필수적
패치 전까지는 파일 신뢰 여부 확인과 방어 전략 점검이 무엇보다 중요합니다.
사건 개요 및 최신 동향
2025년 12월부터 사이버 공격자들이 Adobe Reader의 아직 공개되지 않은 제로데이 취약점을 악용해 악성 PDF 파일을 유포하는 사례가 발생하고 있습니다. 보안업체 EXPMON의 연구자 Haifei Li는 본 공격이 매우 정교하게 설계된 PDF 익스플로잇임을 강조하며, 기업과 개인 모두 폭넓게 위협에 노출되어 있음을 경고했습니다.
첫 악성 PDF 샘플 및 캠페인 지속성
첫 악성 PDF는 ‘Invoice540.pdf’라는 파일명으로 2025년 11월 28일 VirusTotal에 등록되었습니다. 이후 파급력이 예상보다 빠르게 확대됐으며, 2026년 1월에는 두 번째 유사 사례가 포착되어 아직도 공격 캠페인이 활발함이 확인됐습니다. 이는 일회성 공격이 아니라 조직적으로 이뤄지는 지속적 위협을 보여줍니다.
취약점 세부 특성 및 해킹 시나리오
현재 취약점의 기술적 세부 내용은 공식적으로 공개되지 않은 상태입니다. 하지만 EXPMON 분석에 따르면 PDF 리더의 렌더링 엔진에서 발생하는 특정 메모리 처리 오류를 공격하는 것으로 추정됩니다. 공격이 성공하면 PC 내에서 원격 코드 실행이 가능해져, 악성코드 감염 및 정보 유출, 랜섬웨어와 같은 추가 공격으로 쉽게 이어질 수 있습니다.
위협 확산 배경과 위험성
PDF는 업무나 개인 파일 송수신에 매우 널리 쓰이는 포맷으로, 이메일 첨부나 웹 다운로드 등 여러 경로로 쉽게 유포될 수 있습니다. 특히 기업에서는 명세서, 계약서, 세금보고 등 실무 문서 대부분이 PDF로 오간다는 점이 악용당하고 있습니다. 공격자들은 친숙한 파일로 위장해, 사용자의 경계심을 낮추고 이메일 첨부를 통해 악성 PDF를 전파하고 있습니다.
보안 솔루션 탐지 한계 및 Adobe 대응 현황
대다수 보안 솔루션이 해당 제로데이 취약점을 아직 제대로 탐지하지 못하고 있습니다. 이는 취약점이 공식적으로 공개되지 않아 시그니처 기반 탐지로는 대응이 어렵기 때문입니다. Adobe는 관련 보고를 접수했지만, 현재까지 공식 보안 패치는 배포되지 않은 상황입니다. 그만큼 공격자에게 기회가 주어진 위험한 시기라 할 수 있습니다.
사용자·기업의 실제 대응 방안
사용자는 출처가 확실하지 않거나 예상외로 수신한 PDF 첨부파일은 반드시 발신자에 직접 확인해야 합니다. Adobe Reader는 항상 최신 버전으로 유지하고, 보안 패치가 발표되는 즉시 바로 적용해야 합니다. 기업 환경이라면 PDF 뷰어의 JavaScript 기능을 비활성화하고, 앱 샌드박싱 등 추가 보안 조치를 병행하는 것이 효과적입니다. 아울러, EDR(종단점 탐지 대응) 솔루션으로 의심스러운 프로세스와 외부 연결을 실시간으로 모니터링해야 합니다.
결론 – 향후 전망 및 모니터링 포인트
제로데이 취약점은 패치 공개 전까지 매우 심각한 위협입니다. 이번 Adobe Reader 사례도 공식 보안 패치가 나오기 전까지 공격이 계속될 전망이며, 새로운 변종 악성 PDF 등장 가능성도 높습니다. 사용자는 Adobe 보안 공지와 EXPMON 등 위협 정보 채널을 주시하고, 불확실한 PDF 파일 접근을 최대한 제한해야 합니다. 기술적 방어와 사용자 경각심, 이 두 가지가 보안의 핵심임을 다시 생각해야 합니다.
- 공격 지속 중: 2025년 이후 현재까지 제로데이 위협 실체화
- 빠른 대응 필요: 패치 나올 때까지 보안 습관이 가장 효과적 방어
- 경계심 강화: 익숙한 파일이나 발신자라 해도 반드시 재확인 필수