[파이낸셜뉴스] 구글 클라우드의 맨디언트가 인공지능(AI) 도구를 악용해 사용자 개인 정보를 빼돌리는 악성 광고의 배후로 베트남 연계 해킹그룹으로 추정되는 'UNC6032'를 지목하며 주의를 당부했다.
맨디언트 위협 방어 부문은 28일 이같은 조사 결과를 발표하며 "페이스북과 링크드인과 같은 소셜 미디어 플랫폼에서 이러한 광고를 수천 건 이상 식별했으며, 이와 유사한 캠페인이 다른 플랫폼에서도 운영되고 있을 가능성이 높다고 예상하고 있다"고 밝혔다.
이들은 소셜 미디어에 루마 AI, 캔바 드림랩 등과 같은 인기 AI 비디오 생성 도구 브랜드를 사칭하는 악성 광고를 게재해 클릭하도록 유도하는 수법을 사용했다.
사용자가 광고를 클릭하면 AI 도구로 위장한 악성 사이트로 연결되고, 파일을 다운로드 할 경우 AI 생성 콘텐츠 대신 인포스틸러 악성코드 및 백도어가 설치된다.
이를 통해 공격자는 사용자의 로그인 자격 증명, 신용카드 정보 및 기타 민감 정보를 탈취할 수 있으며, 수집된 데이터는 사이버 암시장에서 거래되는 것으로 추정된다.
맨디언트가 최근 발표한 M-트렌드 2025(M-Trends 2025) 보고서에 따르면 자격 증명 탈취가 초기 감염 경로 중 두 번째로 높은 비중을 차지할 정도로, 개인과 기업 모두에게 지속적인 위협이 되고 있다.
메타는 맨디언트가 추가 악성 활동을 알리기 전인 2024년부터 악성 광고, 도메인, 계정의 상당 부분을 탐지하고 제거하기 시작한 것으로 나타났다.
하지만 새로운 악성 광고가 매일 생성되고 있기 때문에 사용자를 더욱 효과적으로 보호하기 위해서는 업계 전반의 지속적인 협력이 필수적이라는 것이 맨디언트 측 설명이다.
아울러 악성 광고에 의한 피해를 예방하기 위해 △로그인 없이 사용 가능한 경우 주의 △파일 다운로드 주의 △파일명 확인 △계정 페이지를 확인 등의 조치가 필요하다고 강조했다.
야쉬 굽타 맨디언트 위협 방어 부문 시니어 매니저는 "위협 행위자들은 지속적으로 전술, 기법 및 절차(TTPs)를 진화시키고 있다. 이번 공격은 AI 도구의 인기에 악성 광고를 결합해 무기로 삼은 것"이라며 "AI 도구를 가장해 정교하게 제작된 웹사이트는 개인과 조직 모두에게 위협이 될 수 있다. 겉보기에 무해해 보이더라도 광고를 통해 연결되는 웹사이트에 접속할 때는 각별한 주의가 필요하다"고 전했다.
wongood@fnnews.com 주원규 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지