검색 1위도 안심 못 한다…오픈소스 프로그램 사칭한 악성코드 유포망 적발 작성일 06-08 27 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="zYkpoZpXSQ"> <figure class="figure_frm origin_fig" contents-hash="d0aa21b48c53a8a6558850884eb24a11874c45a33b34fdb0d71d692d91f93d18" dmcf-pid="qv4OBkOcCP" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/08/552796-pzfp7fF/20260608140718039hfdl.jpg" data-org-width="640" dmcf-mid="XFc0LX0Hya" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/08/552796-pzfp7fF/20260608140718039hfdl.jpg" width="658"></p> </figure> <p contents-hash="5d7163e2ee1e7220ecba14ff931e438d37174b8c9e3eccb542d5a3fc93ca6706" dmcf-pid="BT8IbEIkl6" dmcf-ptype="general">[디지털데일리 김보민기자] 검색 결과 상단에 노출된 프로그램 다운로드 사이트가 실제로는 악성코드 유포를 위한 통로였던 것으로 드러났다.</p> <p contents-hash="06c830cb0ce3e12dd675d33a279a5b27b81b088d8bbc999a020ffd904bd320f7" dmcf-pid="by6CKDCEh8" dmcf-ptype="general">8일 체크포인트소프트웨어테크놀로지스의 보안 연구조직 체크포인트리서치는 최근 인기 오픈소스 및 무료 소프트웨어 프로젝트를 사칭해 사용자를 유인한 뒤 악성 프로그램을 배포하는 대규모 공격 생태계를 발견했다고 밝혔다.</p> <p contents-hash="0e1d348d37d30cb6477e54b848e2621f1d5e66309438456aba6cfe013f19b442" dmcf-pid="KWPh9whDl4" dmcf-ptype="general">공격자들은 보안 연구자와 개발자들이 자주 사용하는 도구(Ghidra, dnSpy, ILSpy 등)는 물론 일반 사용자들에게도 익숙한 프로그램 공식 웹사이트처럼 보이는 페이지를 제작했다. 일부 사이트는 검색 결과 상위권에 노출되면서 사용자들이 공식 사이트로 오인하기 쉬운 환경을 조성한 것으로 나타났다.</p> <p contents-hash="d6ac1c36ec43d43e63b5cc5feb3701f04d637f2df096df439f4c5cf10e0aa370" dmcf-pid="9YQl2rlwTf" dmcf-ptype="general">연구진은 이번 사례가 단순한 피싱 사이트 수준을 넘어 트래픽 확보와 사용자 분류, 악성코드 배포를 결합한 조직적 범죄 생태계라고 분석했다.</p> <p contents-hash="710bfb8933e58d3b5a40733f82acafa997093984a9efab2509659f3373eff1b2" dmcf-pid="2GxSVmSrlV" dmcf-ptype="general">◆ <strong>정상 다운로드처럼 보이지만… 클릭 한 번에 악성코드 경로로 연결</strong></p> <p contents-hash="90a500906ad441bcb5a8d91cfab13d7b57d09033344cc0de22ab4286037da5f2" dmcf-pid="VHMvfsvmC2" dmcf-ptype="general">이번 공격 핵심은 사용자의 신뢰를 악용했다는 점이다. 공격자들은 실제 프로젝트 소개 페이지와 거의 구분하기 어려울 정도로 정교한 웹사이트를 제작했다. 다운로드 버튼 역시 정상적인 프로그램 다운로드 링크처럼 보이도록 구성해 일반 사용자는 물론 IT 전문가조차 의심하기 쉽지 않은 환경을 만들었다.</p> <p contents-hash="ad6954eef2e1d5cadcba289e94656c2f1bc0a12cac194c974d80d36e5f12a972" dmcf-pid="fXRT4OTsS9" dmcf-ptype="general">그러나 사용자가 다운로드를 시도하는 순간 공격자들이 운영하는 트래픽분배시스템(TDS)이 개입한다. 이 시스템은 접속 국가, IP 주소, 브라우저 종류, 방문 이력 등 다양한 정보를 분석해 사용자를 분류한 뒤 서로 다른 경로로 연결한다.</p> <p contents-hash="94e64a297d5c3224ca9096056c093ddf510b1089587ee03b8fdfbcd67fa7a9a2" dmcf-pid="4Zey8IyOSK" dmcf-ptype="general">일부 사용자는 실제 프로그램을 다운로드하지만, 다른 사용자는 잠재적으로 원치 않는 애플리케이션(PUA) 설치 페이지나 악성코드 유포 서버로 이동하게 된다. 특히 같은 사이트를 방문하더라도 사용자 환경과 접속 조건에 따라 결과가 달라지기 때문에 악성 행위를 확인하거나 재현하기 어렵다는 점이 특징이다.</p> <div contents-hash="6b62118645fd0c9ce0fe54b46f734ebf6cce9851a8670ea57f9ff0f8f9f95bf8" dmcf-pid="85dW6CWIhb" dmcf-ptype="general"> 체크포인트리서치는 현재 동일한 방식으로 운영되는 100개 이상의 사이트를 확인했으며, 상당수가 개발자와 보안 연구자들이 자주 사용하는 소프트웨어를 사칭하고 있다고 설명했다. </div> <figure class="figure_frm origin_fig" contents-hash="41ce578ebdf6bc875f46e1134e268ebbbc51c212daa0ec8feae7ece7e6a6d7b1" dmcf-pid="6HMvfsvmlB" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/08/552796-pzfp7fF/20260608140719396iusz.jpg" data-org-width="526" dmcf-mid="uDMvfsvmSM" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/08/552796-pzfp7fF/20260608140719396iusz.jpg" width="658"></p> </figure> <p contents-hash="ea7c9b68babd26c548e509671a8ebb74f9f844b30c29b9a8319ce38bfe0ea218" dmcf-pid="PXRT4OTsSq" dmcf-ptype="general">◆ <strong>정보 탈취부터 가상자산 공격까지… 악성코드 유포 플랫폼 진화</strong></p> <p contents-hash="47c9c0d4c3f8312a76c51a384ebc595be2654a0f6acf2c948503cc7540152443" dmcf-pid="QZey8IyOvz" dmcf-ptype="general">조사 과정에서 연구진은 여러 악성코드가 동일한 유포 체계를 통해 배포되고 있다는 사실도 확인했다.</p> <p contents-hash="55b8e401bf334965bb736eff45c9c3cdb402f10668ea52f6e9b82b44c00ac375" dmcf-pid="x5dW6CWIv7" dmcf-ptype="general">가장 주목받은 사례는 '세션게이트(SessionGate)'다. 세션게이트는 특정 악성코드 하나를 의미하기보다 다양한 악성 프로그램을 선택적으로 배포할 수 있는 다단계 전달 프레임워크에 가깝다. 사용자 시스템 환경과 보안 프로그램 설치 여부 등을 점검한 뒤 조건에 맞는 경우에만 다음 단계로 진행하도록 설계돼 있으며, 분석과 추적을 어렵게 만드는 여러 검증 절차도 포함하고 있다.</p> <p contents-hash="c10514c1a6a917b93e9f423f3344949ce2e93b448e6fcdf6e7322bddf1a91510" dmcf-pid="ynHMSfMVhu" dmcf-ptype="general">이 프레임워크를 통해 배포된 대표적인 악성코드로는 리무스스틸러(RemusStealer)와 애니메이트클리퍼(AnimateClipper)가 확인됐다.리무스스틸러는 정보 탈취 악성코드로, 웹 브라우저에 저장된 비밀번호와 쿠키, 자동완성 정보, 로그인 세션 등을 수집한다. 또한 암호화폐 지갑, 비밀번호 관리자, 다중 인증(MFA) 애플리케이션 정보까지 노리는 것으로 조사됐다.</p> <p contents-hash="9ff8b139a839d7fdfd1c78717e0eb3568b30e22b698f2bb912954d3bd19318f7" dmcf-pid="WLXRv4RfvU" dmcf-ptype="general">애니메이트클리퍼는 가상자산 탈취를 목적으로 하는 악성코드다. 사용자가 비트코인, 이더리움, 솔라나 등 가상자산 지갑 주소를 복사하면 이를 공격자가 통제하는 주소로 바꿔치기해 송금 자금을 가로채는 방식으로 동작한다.</p> <p contents-hash="b146f47fefad6f19ceebb6dba5236bf0128383f77376d0150cc9848c29303d9e" dmcf-pid="YoZeT8e4hp" dmcf-ptype="general">체크포인트리서치는 이번 사례가 검색엔진최적화(SEO)를 악용한 단순 유인 수법을 넘어 실제 악성코드 유포 생태계로 발전하고 있다고 경고했다. 연구진은 검색 결과 상위에 노출됐다는 이유만으로 사이트를 신뢰하기보다 공식 프로젝트 저장소나 개발사 공식 채널을 통해 프로그램을 내려받는 것이 중요하다고 강조했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 에이로봇, 엔비디아 기술로 휴머노이드 이동조작 개발 가속 06-08 다음 핸드볼 챔피언스리그, 메츠가 부쿠레슈티 완파… 창단 첫 ‘FINAL4’ 결승 진출 06-08 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
