유튜브, 악성코드 유포 허브로 악용…‘유튜브 고스트 네트워크’ 발견

 

유튜브, 악성코드 유포 허브로 악용…‘유튜브 고스트 네트워크’ 발견

세계 최대 동영상 플랫폼 유튜브(YouTube)가 대규모 악성코드 유포망으로 악용된 사실이 드러났다. 보안업체 체크포인트(Check Point)는 최근 ‘유튜브 고스트 네트워크(YouTube Ghost Network)’로 명명한 공격 캠페인을 공개하며, 2021년부터 지금까지 3,000개 이상의 악성 영상이 업로드됐다고 밝혔다. 특히 2025년 들어 이러한 영상이 3배 이상 급증한 것으로 나타났다.

크랙 소프트웨어·게임 치트로 위장한 악성 영상

공격자들은 ‘무료 소프트웨어 설치법’, ‘게임 치트 다운로드’ 등 신뢰감 있는 제목을 내세워 사용자를 유인했다. 영상 설명란에는 MediaFire, Dropbox, Google Drive 등의 링크가 포함돼 있었으며, 이를 클릭한 사용자는 악성 압축파일을 내려받게 된다. 영상은 실제 튜토리얼처럼 정교하게 제작됐고, 조회 수와 댓글, ‘좋아요’ 등을 조작해 안전한 콘텐츠처럼 위장했다.

조직적 역할 분담으로 운영된 ‘고스트 네트워크’

체크포인트는 공격자들이 조직적 구조를 기반으로 활동했다고 분석했다.

• 비디오 계정: 악성 영상을 직접 업로드하고 링크를 게시
• 포스트 계정: 유튜브 커뮤니티 탭을 활용해 외부 링크나 암호 공유
• 인터랙트 계정: 댓글 및 ‘좋아요’로 영상 신뢰도 조작

이러한 구조로 인해 계정 일부가 차단되어도 새 계정이 투입되어 지속적으로 유포망이 유지되었다.

루마 스틸러 등 정보 탈취형 악성코드 다수 발견

체크포인트는 공격자들이 루마 스틸러(Lumma Stealer), 라다만시스(Rhadamanthys), 레드라인(RedLine), 스틸C(StealC), 피메드론(Phemedrone) 등의 악성코드를 유포했다고 밝혔다. 일부 영상은 ‘포토샵 크랙 버전’으로 위장해 MSI 설치파일 형태의 하이잭 로더(Hijack Loader)를 실행시켰다. 특히 영상 내 ‘윈도우 디펜더 비활성화’ 지시가 포함된 사례도 다수 발견됐다.

‘사회적 신뢰’가 공격 통로로

전문가들은 이번 사건의 본질을 “신뢰 지표의 악용”으로 규정했다. 조회 수와 댓글, 좋아요 수가 많은 영상일수록 안전하다는 인식을 이용해 공격자가 사용자의 방심을 유도했다. 체크포인트는 “좋아요·댓글 등 참여 지표가 공격에 활용되고 있어 일반 사용자가 악성 콘텐츠를 구별하기 어렵다”고 경고했다.

구글의 대응과 ‘플랫폼형 공격’의 확산

체크포인트의 보고 이후 구글은 상당수 영상을 삭제했지만, 공격자들은 새로운 계정을 생성해 활동을 재개하고 있다. 전문가들은 이번 사례가 “플랫폼을 직접 무기화하는 신종 공격 모델”임을 지적하며, 유튜브뿐 아니라 오픈소스 저장소·SNS 전반으로 확산될 가능성을 경고했다.

사용자와 기업의 대응 방안

• ‘무료 프로그램’·‘게임 크랙’ 등 키워드가 포함된 영상 내 링크 클릭 금지
• 기업 보안 정책에서 개인용 파일공유 서비스(MediaFire·Dropbox 등)의 실행파일 다운로드 차단
• 엔드포인트(EPP/EDR) 솔루션에서 정보탈취형 악성코드 탐지 정책 강화
• URL 단축기 및 개인 스토리지 도메인 접근 통제 병행
• ‘조회 수·댓글 수’는 신뢰의 기준이 아님을 사용자에게 지속 교육

결론 — “신뢰 기반 플랫폼도 완벽히 안전하지 않다”

보안 전문가들은 “이제는 신뢰할 수 있는 플랫폼조차 공격의 표적이 되고 있다”며, 사용자의 주의와 기업의 탐지 체계 강화를 강조했다. 특히 다운로드 행위의 ‘경로와 맥락’을 추적하는 보안 접근이 필수적이라고 조언했다.

반응형