![](javascript:void(Common.kakaoLinkShare('고플러스 "안드로이드 악성코드 \'프롬프트스파이\', AI 활용해 기기 원격 장악"', '보안 전문기관 고플러스 시큐리티(GoPlus Security)가 인공지능(AI) 기술을 악용해 피해자 기기를 원격 제어하는 신종 안드로이드 악성코드 \'프롬프트스파이(PromptSpy)\'를 26일 공개했다. 고플러스에 따르면 프롬프트스파이는 구글의 생성형 AI \'제미나이(Gemini)\'를 악용해 감염된 기기의 화면을 실시간으로 분석하고, 자동으로 지속성을 유지하며, 제거를 차단하는 동시에 VNC(가상 네트워크 컴퓨팅) 기반 원격 제어를 수행한다. 보안 연구기관 E', 'https://img.blockstreet.co.kr/photo/2026/02/26/20260226000031_0640.jpg', 'https%3A%2F%2Fwww.blockstreet.co.kr%2Fnews%2Fview%3Fud%3D2026022618055081121'));){kind=link}
"구글 제미나이 악용…실시간 악성 행위 결정으로 은폐성 높여"
"비공식 APK 설치 금지·접근성 권한 신중 부여해야"
);)
고플러스에 따르면 프롬프트스파이는 구글의 생성형 AI '제미나이(Gemini)'를 악용해 감염된 기기의 화면을 실시간으로 분석하고, 자동으로 지속성을 유지하며, 제거를 차단하는 동시에 VNC(가상 네트워크 컴퓨팅) 기반 원격 제어를 수행한다.
보안 연구기관 ESET의 연구원들은 프롬프트스파이를 "생성형 AI를 실행 흐름에 악용한 최초의 안드로이드 악성코드"로 규정했다. 이 악성코드는 AI를 활용해 실시간으로 악성 행위를 결정함으로써 기존 보안 솔루션의 탐지를 회피하고 공격 정확도를 높인 것으로 분석됐다.
브로드컴(Broadcom) 보안 센터는 "프롬프트스파이는 제미나이 AI를 특별히 활용하여 감염된 기기에서 지속적인 존재를 유지하는 방식으로 작동한다"며 "이는 AI를 악용한 새로운 형태의 사이버 위협으로, 기존 악성코드와 차원이 다르다"고 경고했다.
특히 이 악성코드는 안드로이드의 '접근성 서비스(Accessibility Service)' 권한을 악용하는 것으로 확인됐다. 접근성 서비스는 본래 장애인의 기기 사용을 돕기 위한 기능이지만, 악성코드가 이 권한을 획득하면 화면 내용 읽기, 자동 클릭, 앱 설치 등 거의 모든 조작이 가능해진다.
고플러스는 사용자들에게 다음과 같은 보안 수칙을 준수할 것을 권고했다.
▲비공식 채널 APK 설치 절대 금지 = 구글 플레이 스토어 등 공식 앱 마켓 외의 출처에서 제공되는 APK 파일은 절대 설치하지 말아야 한다.
▲접근성 서비스 권한 신중 부여 = 앱이 접근성 서비스 권한을 요청할 경우 해당 앱의 출처와 목적을 반드시 확인하고, 불필요한 권한 부여는 거부해야 한다.
▲구글 플레이 프로텍트 활성화 = 구글 플레이 프로텍트(Google Play Protect)의 실시간 보호 기능을 반드시 켜두어 악성 앱을 사전에 차단해야 한다.
한편 구글은 아직 프롬프트스파이에 대한 공식 입장을 밝히지 않았으나, 플레이 프로텍트를 통해 해당 악성코드를 탐지하고 차단하는 작업을 진행 중인 것으로 알려졌다.
최주훈 joohoon@blockstreet.co.kr