3월 13일(현지시간) 파반 카르시크(Pavan Karthick) 사이버 보안 전문 업체 클라우드세크(CloudSEK) 연구원은 유튜브에서 인공지능(AI)으로 생성된 동영상이 인포스틸러(infostealer)를 확산시키고 있다고 전했다. 인포스틸러란 사용자의 시스템에 침투해 비밀번호와 결제 세부 정보 같은 중요한 개인 정보 탈취 목적으로 설계된 악성 소프트웨어다.
클라우드세크는 25억 명의 월간 활성 사용자를 지닌 거대한 플랫폼 유튜브가 인포스틸러의 표적이 되기 쉽다고 전했다. 클라우드세크에 따르면 최근 유튜브는 신디시아(Synthesia)와 디아이디(D-ID) 같은 AI 개발 플랫폼으로 생성된 영상의 수가 증가했다. 특히 지난해 11월 이후 관련 영상은 매달 2배에서 3배까지 급증해 시청자들이 라쿤 스틸러(Raccoon Stealer), 레드라인(RedLine), 비다르(Vidar)처럼 유명 악성코드를 설치하도록 유도됐다.
매달 2배~3배까지 악성코드가 확산되는 추세 (출처: 클라우드세크(CloudSEK))
인포스틸러 행위자들은 AI 플랫폼으로 가상의 인물이 등장하는 영상을 만든다. 주로 채용 정보나 교육 훈련, 홍보 자료 등의 정보 영상으로 위장해 사용자의 클릭을 유도한다. 이는 유튜브, 트위터, 인스타그램 같은 대중적인 플랫폼 전반에 퍼뜨린다. 철저히 익숙한 얼굴을 더 친근하게 여기고 신뢰한다는 인간의 특성을 반영한 행동이다. 클라우드세크는 인포스틸러에 해당하는 사례는 점점 증가하는 추세라고 설명했다.
클라우드세크는 실제로 디아이디 AI 플랫폼을 사용해 생성된 액션 RPG 게임 호그와트 레거시(Hogwarts Legacy) 크랙 다운로드 영상이 18만 4000명의 구독자를 가진 유튜브 채널에 업로드된 바 있다고 전했다. 이는 AI 플랫폼으로 만든 영상에 악성코드가 포함된다면 적지 않은 영향을 끼칠 수 있음을 시사한다.
18만 4천명 구독자 보유한 유튜브 채널 올리자마자 반응을 얻은 이미지 (출처: 클라우드세크(CloudSEK))
사용자의 PC에 인포스틸러 악성코드가 설치되는 방법은 다음과 같다. 인포스틸러는 주로 악성 소프트웨어 다운로드나 가짜 웹사이트, 유튜브 튜토리얼 영상 등의 링크를 통해 확산된다. 이에 인포스틸러 행위자들은 포토샵(Photoshop), 프리미어 프로(Premier Pro), 오토데스크 3ds 맥스(Autodesk 3ds Max), 오토캐드(AutoCAD)와 같은 유명한 유료 소프트웨어 크랙 버전 다운로드에 대한 튜토리얼을 가장한 유튜브 동영상을 올린다.
인포스틸러 행위자는 유튜브 사용자의 개인 정보를 훔치기 위해 가짜 댓글까지 사용해 제공하는 링크나 정보에 대한 신뢰성을 부여하고자 한다. 해당 영상으로 인포스틸러 악성 소프트웨어가 시스템에 설치되면 사용자의 컴퓨터에서 빼낸 정보는 추후 공격을 수행하게 될 C&C(Command and Control Server)로 업로드된다. 이후 인포스틸러 행위자는 확보된 정보에 기반해 C&C에서 악성코드를 제어하게 된다.
특정 얼굴의 AI로 생성된 플랫폼 영상들 (출처: 클라우드세크(CloudSEK))
유튜브 동영상을 통해 일반적으로 인포스틸러 행위자들은 신용카드 세부 정보 등을 포함한 브라우저 데이터, 암호, 쿠키, 확장 데이터, 텔레그램과 암호화폐 지갑에 대한 데이터와 자격 증명 정보 등의 개인 정보를 수집한다. 그 외에도 인포스틸러 행위자들은 사용자의 IP 주소, 시간대, 위치, 시스템 사양 등의 전반적인 시스템 정보를 빼돌릴 수 있다. 레드라인과 비다르같은 악성코드는 사용자가 악성코드를 얻게된 경로까지 인포스틸러 행위자에 제공해준다.
인포스틸러 행위자들은 유출된 데이터와 소셜 엔지니어링 기술으로 다른 사용자의 특정한 유튜브 계정을 해킹해 악성코드를 확산시키는 경우가 많다. 인기 채널을 목표로 해 짧은 시간 내 빠르게 악성코드를 확산하고자 한다. 특히 인포스틸러 행위자들의 유튜브 계정의 영상은 매 시간마다 5~10개 정도로 그 주기가 빈번하게 관찰됐다.
잦은 주기로 업로드되는 인포스틸러 악성코드 동영상 (출처: 클라우드세크(CloudSEK))
하지만 인포스틸러 행위자들이 유튜브에서 악성코드를 설치하기 위한 과정이 마냥 순탄하지만은 않다. 만약 유튜브 플랫폼의 규정과 검토과정에 따라 유튜브 동영상이 몇몇 사용자에게 영향을 준 사실이 확인되면 일반적으로 영상은 내려가고 계정은 정지되기 때문이다. 이에 인포스틸러 행위자들은 계정을 오래 사용할 수 없다. 이 때문에 인포스틸러 행위자들은 항상 플랫폼의 알고리즘이나 자동화된 콘텐츠 프로세스 과정을 우회할 수 있는 방법을 수시로 찾는다. 이에 클라우드세크는 사용자의 PC, 모바일, 서버 등에서 발생하는 악성행위를 실시간으로 분석하고 대응하는 엔드포인트 감지⋅대응(EDR)이 새로운 침해지표(IoC)로 업데이트되더라도 짧은 시간만 유효하다고 설명했다.
이에 클라우드세크는 유튜브 같은 플랫폼 기업은 지속적으로 변화에 대처하기 위해 인포스틸러 행위자들의 기술이나 절차를 면밀히 모니터링해야 한다고 설명했다. 또한, 사용자가 위협을 식별할 수 있도록 캠페인을 실시하는 것도 방법이라고 덧붙였다. 또한, 사용자들이 다중 요소 인증(MFA)을 사용하도록 설정하고, 알 수 없는 링크나 전자메일을 클릭하지 않으며, 최대한 불법 복제 소프트웨어를 다운로드하지 않는 것을 권장했다.
테크플러스 에디터 최현정, 나유권
tech-plus@naver.com
댓글0