깃허브 별점·유튜브 조회수 조작…'정상 프로그램'으로 위장한 악성코드 등장 작성일 06-26 38 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="KF2muGUZSY"> <figure class="figure_frm origin_fig" contents-hash="d95863f69d86abccae9fa312c40ef3fedd01bb097c2e9478a139555fbcf68652" dmcf-pid="93Vs7Hu5WW" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/26/552796-pzfp7fF/20260626095721431micr.jpg" data-org-width="640" dmcf-mid="qb6IqZztWX" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/26/552796-pzfp7fF/20260626095721431micr.jpg" width="658"></p> </figure> <p contents-hash="b536f9d1101d1fa47e1690401ebce5c9da81ee65216f29d40d1fcb40e06c48de" dmcf-pid="20fOzX71Ty" dmcf-ptype="general">[디지털데일리 김보민기자] 주요 플랫폼 평판을 조작해 악성코드를 정상 프로그램으로 위장하는 공격 수법이 확인됐다.</p> <p contents-hash="700f96bfe3db3ce00d733111c67ca14b7dc0219aecf48ece7dbc71c194520efd" dmcf-pid="Vp4IqZztyT" dmcf-ptype="general">26일 보안업계에 따르면 체크포인트리서치는 이달 보고서를 통해 공격자가 피싱 사이트를 중심으로 깃허브, 소스포지(SourceForge), 유튜브, 뉴스 사이트, 암호화폐 포럼, 바이러스토털 등 플랫폼을 활용해 악성 프로그램 신뢰도를 인위적으로 높인 사실을 확인했다고 밝혔다.</p> <p contents-hash="f0984b64fbadda5f89ce07ce79c0cde267068cf680791e36f399c0cdca65f716" dmcf-pid="fU8CB5qFCv" dmcf-ptype="general">공격자는 암호화폐 자동매매 프로그램과 게임 결과 예측 프로그램으로 위장한 악성 도구를 미끼로 사용자를 피싱 사이트로 유인했다. 공격자는 솔라나와 펌프닷펀 스나이퍼 봇 등 수익용 프로그램을 내세워 암호화폐 투자자와 온라인 게임 및 도박 이용자를 노렸다.</p> <p contents-hash="126a2430f55e5f0d2649fffa4b69020d3362e3e9de6d6ba7aee05d5b9869af05" dmcf-pid="4u6hb1B3TS" dmcf-ptype="general">피싱 사이트는 깃허브, 소스포지, 유튜브로 연결되는 거점 역할을 했다. 깃허브에서는 최소 6개 계정을 운영하며 저장소끼리 서로를 기여자로 등록하고, 가짜 계정을 동원해 별점과 포크(다른 사람이 만든 프로젝트를 내 계정으로 복사해 가져오는 기능)를 추가하는 방식으로 인기를 조작했다.</p> <p contents-hash="5787ac213bdb7697c50876cd356492ba2789984b4cea80ad70359b7d26d3015a" dmcf-pid="8ekUL8nQyl" dmcf-ptype="general">체크포인트리서치는 '고스트 네트워크'를 통해 저장소가 많은 개발자에게 검증받은 프로젝트인 것처럼 위장된 게시글도 확인했다고 강조했다. 깃허브에서만 5000건이 넘는 다운로드가 발생한 것으로 추정됐으며, 맥OS(macOS) 버전도 1250건 이상 내려받아진 것으로 나타났다.</p> <div contents-hash="2f416fe6a4d5882e28e0d96aa0ec59ab811228584743d383aeaf18cc32479e3d" dmcf-pid="6dEuo6LxSh" dmcf-ptype="general"> 소스포지에서도 유사 수법이 사용됐다. 가짜 계정이 긍정적인 평가와 댓글을 남겼으며 다운로드 수는 4만4000건을 넘었다. 특히 대부분 다운로드가 안드로이드 기기에서 발생한 것으로 집계됐지만 실제 제공되는 프로그램은 윈도우와 맥OS 버전뿐이었다. 체크포인트리서치는 다운로드 수를 인위적으로 늘리기 위해 안드로이드 기기 팜을 활용했을 가능성이 있다고 설명했다. </div> <figure class="figure_frm origin_fig" contents-hash="dd873d8704f561569e08d41372f7eb439e13d0bfa10e3aa1bf8c094e779453bb" dmcf-pid="PJD7gPoMvC" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/26/552796-pzfp7fF/20260626095722724sbcn.jpg" data-org-width="566" dmcf-mid="bPBE3TFYyG" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/26/552796-pzfp7fF/20260626095722724sbcn.jpg" width="658"></p> </figure> <p contents-hash="dcbf79378583bd5821f52e797fb80abf27be310615fb799c5b9c7f6ad17fd47a" dmcf-pid="QiwzaQgRTI" dmcf-ptype="general">유튜브에서는 인공지능(AI)이 생성한 내레이터가 등장하는 시연 영상을 제작하고 조회수와 댓글을 늘린 정황이 확인됐다. 영상은 실제 사용자가 프로그램을 시연하는 것처럼 구성됐으며, 댓글에는 "효과가 좋다"는 긍정적인 반응이 게시됐다. 일부 실제 이용자로 추정되는 계정은 프로그램이 광고 내용대로 작동하지 않는다는 불만을 남겼다.</p> <p contents-hash="5af9399c675523e11377cde1bce381b2aa196612b7f8616d475ed60a4e449851" dmcf-pid="xnrqNxaeyO" dmcf-ptype="general">공격자는 뉴스 사이트와 암호화폐 포럼까지 홍보 수단으로 활용했다. 여러 뉴스 사이트에는 동일한 날짜에 악성 프로그램을 소개하는 게시물이 게재됐으며, 비트코인톡(BitcoinTalk) 등 암호화폐 커뮤니티에서도 관련 프로그램 홍보 글이 확인됐다. 연구진은 유료 광고를 이용했거나 침해된 뉴스 사이트를 악용했을 가능성이 있다고 분석했다.</p> <p contents-hash="2c407b32ea42d43bcc1a783679c2de36cb8fb89e834534582674901182b3a3e0" dmcf-pid="y5bD0y3Gls" dmcf-ptype="general">바이러스토털에서도 평판 조작이 이뤄졌다. 일부 악성 샘플에는 '안전하다'는 댓글과 무해하다는 추천이 달렸으며, 원래도 낮은 탐지율과 결합되면서 사용자와 평판 기반 보안 시스템이 악성 파일을 정상 프로그램으로 오인할 가능성을 높인 것으로 분석됐다.</p> <p contents-hash="835698797fdc6f9269061f16e7fbb174219ef9ed6b937b782256aeed81171ba3" dmcf-pid="W1KwpW0Hlm" dmcf-ptype="general">보고서에 따르면 실제 유포된 악성코드는 러스트(Rust)로 개발된 클립보드 하이재커다. 사용자가 암호화폐 지갑 주소를 복사하면 이를 공격자가 미리 준비한 지갑 주소로 바꿔치기해 피해자 자산을 탈취하는 방식이다. 최신 버전에는 1만5500개 이상 암호화폐 지갑 주소가 포함됐고, 공격자는 거래가 완료될 때마다 새로운 지갑 주소로 교체해 추적을 피한 것으로 나타났다.</p> <p contents-hash="9bd9399775c29d4c782fd871c9293392af70593a9f4d63d2efc3e209b0a0c6f9" dmcf-pid="Yt9rUYpXSr" dmcf-ptype="general">체크포인트리서치는 "이번 사례는 공격자들이 단순히 악성코드를 유포하는 데 그치지 않고, 여러 플랫폼 평판과 사용자 신뢰까지 조작하는 단계로 진화한 점을 보여준다"고 말했다. 이어 "이 같은 기법은 향후 정보 탈취 악성코드나 랜섬웨어 등 더욱 위험한 공격에도 활용될 수 있는 만큼 온라인상 별점, 댓글, 조회수, 안전 평가만 믿고 프로그램을 내려받아서는 안 된다"고 당부했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 '르망 우승 3회' 베테랑 로테러, 신생팀 제네시스 선택한 이유는? 06-26 다음 장현국 넥써쓰 대표 "원스토어, 앱마켓 넘어 모바일 게임의 스팀으로 만들겠다" 06-26 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.