반도체 전문 온라인 매거진 - 올포칩

맨디언트 위협 방어 부문(Mandiant Threat Defense)이 AI 도구에 대한 대중의 관심을 악용하는 베트남 연계 위협 그룹 UNC6032의 캠페인에 대한 새로운 조사 결과를 발표했다. UNC6032는 소셜 미디어에 루마 AI(Luma AI), 캔바 드림랩(Canva Dream Lab) 등과 같은 인기 AI 비디오 생성 도구 브랜드를 사칭하는 악성 광고를 게재해 클릭하도록 유도한다. 

사용자가 광고를 클릭하면 AI 도구로 위장한 악성 사이트로 리디렉션되고, 파일을 다운로드 할 경우 AI 생성 콘텐츠 대신 인포스틸러(infostealer) 악성코드 및 백도어(backdoor)가 설치된다. 이를 통해 공격자는 사용자의 로그인 자격 증명, 신용카드 정보 및 기타 민감 정보를 은밀하게 탈취 할 수 있으며, 수집된 데이터는 사이버 암시장에서 거래될 가능성이 높다. 맨디언트가 최근 발표한 M-트렌드 2025(M-Trends 2025) 보고서에 따르면 자격 증명 탈취가 초기 감염 경로 중 두 번째로 높은 비중을 차지할 정도로, 개인과 기업 모두에게 지속적인 위협이 되고 있다. 

맨디언트 위협 방어 부문은 페이스북(Facebook)과 링크드인(LinkedIn)과 같은 소셜 미디어 플랫폼에서 이러한 광고를 수천 건 이상 식별했으며, 이와 유사한 캠페인이 다른 플랫폼에서도 운영되고 있을 가능성이 높다고 예상한다. 

이러한 캠페인에 대응하기 위해 맨디언트 위협 방어 부문은 메타(Meta) 및 링크드인과 협력해 조사 결과를 발표했다. 메타는 맨디언트가 추가 악성 활동을 알리기 전인 2024년부터 악성 광고, 도메인, 계정의 상당 부분을 탐지하고 제거하기 시작한 것으로 나타났다. 하지만 새로운 악성 광고가 매일 생성되고 있기 때문에, 사용자를 더욱 효과적으로 보호하기 위해서는 업계 전반의 지속적인 협력이 필수적이다. 

악성 광고에 의한 피해를 예방하기 위해 다음과 같은 조치가 요구된다.

• 로그인 없이 사용 가능한 경우 주의하십시오: 일반적으로 합법적인 AI 웹사이트는 프롬프트를 입력하려면 계정을 생성하거나 로그인을 요구한다.
• 파일 다운로드를 삼가십시오: 대부분의 적법한 AI 웹사이트는 크롬(Chrome), 파이어폭스(Firefox), 사파리(Safari) 등 웹 브라우저 자체에서 동영상을 재생한다. 
  • 미리보기 없이 파일 다운로드를 유도하는 경우, 악성 파일일 가능성이 높다.
• 파일명을 확인하십시오: 파일을 다운로드 해야 하는 경우, 전체 파일명을 확인해 동영상 형식(대부분 .mp4 확장자)이 맞는지 확인해야 한다. 확장자가 .exe라면 주의해야 한다. 
• 계정 페이지를 확인하십시오: 광고를 게시한 계정 페이지가 인증되지 않았거나, 팔로워 수가 적거나, 이전 게시물이 AI와 전혀 관련이 없는 경우 위험 신호이므로 피하는 것이 좋다. 

야쉬 굽타(Yash Gupta) 맨디언트 위협 방어 부문 시니어 매니저(Senior Manager)는 “위협 행위자들은 지속적으로 전술, 기법 및 절차(TTPs)를 진화시키고 있다. 이번 공격은 AI 도구의 인기에 악성 광고를 결합해 무기로 삼은 것”이라고 설명하며, “AI 도구를 가장해 정교하게 제작된 웹사이트는 개인과 조직 모두에게 위협이 될 수 있다. 겉보기에 무해해 보이더라도 광고를 통해 연결되는 웹사이트에 접속할 때는 각별한 주의가 필요하다”라고 전했다.