AIClipper: 악성 솔라나 봇에 숨은 크립토 클리퍼, 평판 조작과 AI 내레이터로 전방위 공격

최근 보안 연구를 통해 한 악성코드 캠페인이 AI 내레이터, 가짜 리뷰, 평판 조작 시스템을 총동원해 크립토 클리퍼를 확산시키고 있다는 사실이 밝혀졌다. 이 공격은 단순히 악성코드를 배포하는 수준을 넘어, VirusTotal의 파일 평판 시스템을 조작하고, GitHub 저장소에 가짜 스타와 포크를 늘리며, 심지어 유튜브 튜토리얼까지 제작하는 등 ‘가짜 평판 경제’를 구축해 사용자들의 신뢰를 속이는 방식으로 전개된다. 특히 이 악성코드는 솔라나(Solana) 기반 봇과 펌프펀(Pump.fun) 스나이퍼로 위장되어, 크립토 자산을 노리는Clipper(클립보드 감시형 악성코드)로서 기능한다.

이번 campagna의 핵심은 ‘신뢰’라는 단어다. 공격자들은 legitimate한 플랫폼과 도구들의 평판 시스템을 악용해, 사용자들이Download 버튼을 누르기 전에 마주치게 되는 모든 정보—뉴스 광고, 리뷰 점수, GitHub 저장소의 스타 수, 유튜브 튜토리얼—를 조작한다. 그 결과, 사용자들은 마치 신뢰할 만한 도구를 다운로드하는 것처럼 착각하게 되고, 실제로는 크립토 자산을 탈취당하는 악순환이 반복된다. 이번 캠페인은 단순히 기술적 위협을 넘어, 현대 디지털 생태계의 ‘신뢰 모델’이 어떻게 악용될 수 있는지를 여실히 보여준다.

크립토 클리퍼의 핵심 메커니즘: 클립보드 감시와 자산 탈취

이번 악성코드는 Rust 언어로 작성되었으며, Windows와 macOS를 모두 타깃으로 한다. 주된 기능은 클립보드(클립보드)를 지속적으로 모니터링하는 것이며, 특히 크립토 월렛 주소와 유사한 패턴을 탐지한다. 예를 들어 사용자가 복사한 주소가 ‘0x1234...abcd’와 같은 형태라면, 악성코드는 이를 공격자의 하드코딩된 주소로 대체한다. 이 과정에서 사용자는 자신이 올바른 주소로 전송했다고 믿지만, 실제로는 공격자의 주소로 자금이 이동하게 된다.

이러한 Clipper 악성코드는 과거에도 존재했지만, 이번 캠페인의 특징은 ‘위장’이다. 공격자들은 솔라나(Solana) 기반의 스나이퍼 봇과 펌프펀(Pump.fun) 게임 예측기로 위장해 배포한다. 솔라나 스나이퍼 봇은 암호화폐 거래소에서 미세한 가격 차이를 포착해 이익을 내는 도구로 알려져 있지만, 실제로는 Clipper가 내장되어 사용자들의 자금을 탈취하는 수단으로 악용된다. 펌프펀(Pump.fun)은 솔라나 기반의 토큰 생성 및 거래 플랫폼으로, 사용자들이 새로운 토큰을 발행하고 거래할 수 있게 해주지만, 이 플랫폼을 타깃으로 한 Clipper 악성코드도 확인됐다.

이러한 악성코드는 단순히 기술적인 위협에 그치지 않는다. 사용자들이 ‘빠른 이익’을 추구하는 과정에서 위험한 도구에 노출될 가능성이 크다는 점에서, 크립토 커뮤니티 전반에 대한 경각심을 일깨운다. 특히 솔라나 생태계가近年来 급속도로 성장하면서, 이와 같은 악성코드의 위협도 함께 확산되고 있는 실정이다.

VirusTotal 평판 조작: ‘고스트 네트워크’와 조작된 파일 평점

이번 캠페드의 가장 주목할 만한 특징은 VirusTotal의 파일 평판 시스템을 조작했다는 점이다. VirusTotal은 다수의 보안 업체가 악성코드를 분석한 결과를 공유하는 플랫폼으로, 사용자들이 파일을 업로드하면 다수의 안티바이러스 엔진으로 검사할 수 있다. 그러나 공격자들은 ‘고스트 네트워크(Ghost Networks)’라는 기법을 동원해, 악성 파일을 ‘안전’으로 분류하도록 조작했다.

具体적으로, 공격자들은 다수의 가짜 계정을 생성해 VirusTotal에 악성 파일을 업로드한 후, ‘안전’ 또는 ‘5점 만점’의 긍정적인 평가를 남겼다. 이러한 조작은 단순히 파일 하나에 그치지 않고, 다수의 플랫폼에서 동시에 발생해 ‘신뢰할 만한 파일’이라는 인상을 심어준다. 예를 들어, 동일한 악성 파일이 GitHub 저장소에서도 ‘안전’으로 표시되도록 조작하거나, 유튜브 튜토리얼에서 해당 파일을 ‘안전하게 사용할 수 있다’는 식으로 홍보하기도 했다.

이러한 평판 조작은 사용자들이 악성코드를 다운로드할 가능성을 크게 높인다. VirusTotal은 보안 전문가들이 악성코드를 분석하는 데 필수적인 도구이지만, 평판 시스템이 조작되면 그 신뢰성은 크게 떨어질 수밖에 없다. 특히, 평판 시스템이 조작된 파일을 다운로드한 사용자들은 자신이 위험한 파일을 사용하고 있다는 사실을 인지하지 못한 채, 크립토 자산을 잃을 수 있다.

GitHub와 SourceForge의 ‘조작된 평판’: 가짜 스타와 다운로드 수

GitHub는 개발자들이 오픈소스 프로젝트를 공유하고 협업하는 플랫폼으로, 사용자들은 저장소의 스타 수와 포크 수를 확인해 프로젝트의 인기와 신뢰성을 판단한다. 그러나 이번 캠페드에서는 공격자들이 다수의 가짜 GitHub 계정을 생성해, 악성 저장소에 스타와 포크를 조작했다. 예를 들어, 한 저장소는 146개의 스타와 62개의 포크를 보유하고 있었는데, 이 중 상당수는 가짜 계정에 의한 것이었다.

SourceForge는 오래된 but 여전히 널리 사용되는 파일 호스팅 플랫폼으로, 사용자들은 다운로드 수를 확인해 프로젝트의 인기를 판단한다. 그러나 이번 캠페드에서는 SourceForge의 다운로드 수가 조작됐다. 한 악성 저장소는 총 44,485회의 다운로드가 발생했는데, 이 중 37,460회가 Android 기기에서 발생했다고 보고됐다. 그러나 해당 저장소는 Windows와 macOS용 파일만 제공하고 있었으며, Android용 파일은 제공하지 않았다. 이는likely한 설명으로, 공격자들이 ‘Android 농장’을 동원해 다운로드 수를 조작했다는 것이다.

이러한 조작은 사용자들이 ‘인기 있는 프로젝트’를 다운로드할 가능성을 높인다. GitHub의 스타 수와 SourceForge의 다운로드 수는 프로젝트의 인기와 신뢰성을 판단하는 중요한 지표이지만, 이 지표들이 조작된다면 사용자들은 잘못된 판단을 내리게 된다. 특히, 개발자들은 오픈소스 프로젝트를 선택할 때 이러한 지표에 의존하기 때문에, 조작된 평판은 오픈소스 생태계 전반에 악영향을 미칠 수 있다.

유튜브와 AI 내레이터: ‘안전하다는 착각’을 심어주는 멀티미디어

이번 캠페드는 유튜브를 통한 멀티미디어 콘텐츠 제작과 AI 내레이터를 활용해, 사용자들이 악성코드를 ‘안전하게 사용할 수 있는 도구’라고 믿도록 유도했다. 공격자들은 유튜브 채널을 개설해, 악성코드가 포함된 솔라나 스나이퍼 봇이나 펌프펀 스나이퍼를 사용하는 방법을 설명하는 튜토리얼 영상을 업로드했다.

이러한 튜토리얼 영상에는 AI 내레이터가 사용되어, 사용자들이 ‘이 도구는 안전하며, 효과적으로 사용할 수 있다’는 메시지를 전달받는다. AI 내레이터는 인간의 목소리처럼 자연스럽게 들리지만, 실제로는 AI가 생성한 목소리라는 사실을 사용자들이 인지하기 어렵다. 이러한 콘텐츠는 사용자들의 신뢰를 얻기에 매우 효과적이며, 특히 ‘빠른 이익’을 추구하는 크립토 커뮤니티에서 큰 호응을 얻을 수 있다.

유튜브는 전 세계적으로 가장 인기 있는 동영상 플랫폼 중 하나로, 사용자들은 검색을 통해 관련 콘텐츠를 쉽게 찾을 수 있다. 공격자들은 이러한 플랫폼의 특성을 악용해, 악성코드를 홍보하고 사용자들을 유인했다. 특히, AI 내레이터를 활용한 콘텐츠는 사용자들이 ‘전문가나 유명인이 추천하는 도구’라는 인상을 받게 해, 다운로드율을 높이는 데 기여했다.

뉴스 광고와 ‘레거시 미디어’의 신뢰성 악용

이번 캠페드는 legitimate한 뉴스 웹사이트에 게재된 광고를 통해, 악성코드를 ‘안전하고 유용한 도구’라고 홍보했다. 공격자들은 뉴스 웹사이트에 광고를 게재해, 사용자들이 ‘유명한 매체에서 추천하는 도구’라는 인상을 받도록 했다. 이러한 광고는 단순히 악성코드를 다운로드하도록 유도하는 것뿐만 아니라, 사용자들의 평판 시스템에 대한 신뢰를 악용하는 전략의 일환이었다.

레거시 미디어는 오랫동안 ‘신뢰할 만한 정보원’이라는 인식을 갖고 있지만, 광고 시스템이 디지털화되면서 악성 광고가 게재되는 경우도 빈번해졌다. 특히, 기술 관련 뉴스 웹사이트는 크립토 커뮤니티의 관심을 끌기 위해, 악성코드를 홍보하는 광고를 게재할 가능성이 있다. 이러한 광고는 사용자들이 ‘안전하고 유용한 도구’라는 믿음을 갖게 해, 악성코드 다운로드의 가능성을 높인다.

이러한 전략은 ‘신뢰’라는 개념이 어떻게 악용될 수 있는지를 보여준다. 사용자들은 전통적인 미디어의 신뢰성을 기반으로 정보를 판단하지만, 디지털 환경에서는 이러한 신뢰성이 쉽게 조작될 수 있다. 특히, 크립토 커뮤니티와 같이 ‘빠른 이익’을 추구하는 집단은, 이러한 조작에 더욱 취약할 수밖에 없다.

‘가짜 평판 경제’의 종합 분석: 사용자 신뢰를 노린 다단계 사기

이번 캠페드는 ‘가짜 평판 경제’라는 새로운 형태의 사기 수법을 구사했다. 공격자들은 VirusTotal, GitHub, SourceForge, 유튜브, 뉴스 광고 등 사용자들이 ‘신뢰할 만한 정보’를 얻는 모든 플랫폼을 동원해, 악성코드를 ‘안전하고 인기 있는 도구’라고 포장했다. 이러한 전략은 단순히 기술적 위협을 넘어, 현대 디지털 생태계의 ‘신뢰 모델’을 악용한 다단계 사기라고 할 수 있다.

이러한 가짜 평판 경제는 사용자들이 ‘다운로드하기 전에 확인하는 모든 정보’를 조작함으로써, 악성코드의 확산을 용이하게 한다. 예를 들어, 사용자가 VirusTotal에서 파일을 검사해 ‘안전’이라고 판단하거나, GitHub에서 ‘많은 사람들이 사용하는 프로젝트’라고 생각한다면, 다운로드할 가능성이 크게 높아진다. 그러나 이러한 판단은 모두 조작된 정보에 기반한 것이므로, 사용자들은 실제로는 위험한 파일을 다운로드하게 된다.

이러한 전략은 특히 ‘빠른 이익’을 추구하는 사용자들에게 효과적이다. 크립토 커뮤니티와 같이 투자나 거래를 통해 이익을 얻고자 하는 사용자들은, ‘유용한 도구’를 찾기 위해 다양한 플랫폼을 검색한다. 공격자들은 이러한 사용자들의 심리를 악용해, 악성코드를 홍보하고 자금을 탈취한다.

방어 전략: 사용자와 조직이 취해야 할 조치

이번 캠페드는 단순히 기술적 위협을 넘어, 사용자들의 ‘신뢰’라는 인식을 악용한 전략이기 때문에, 기술적 방어뿐만 아니라 사용자 교육과 인지 제고가 필수적이다. 사용자들은 ‘다운로드하기 전에 확인하는 모든 정보’를 맹신하지 말고, 플랫폼의 평판 시스템이 조작될 가능성을 항상 고려해야 한다.

첫째, 사용자들은 VirusTotal과 같은 평판 시스템을 맹신하지 말고, 다수의 안티바이러스 엔진에서 일관되게 ‘악성’으로 분류되는지 확인해야 한다. 특히, 평판 시스템이 조작된 파일은 다수의 엔진에서 ‘안전’으로 표시될 가능성이 높으므로, 단일 엔진의 결과에만 의존하지 않는 것이 중요하다.

둘째, GitHub와 SourceForge와 같은 플랫폼에서 프로젝트를 선택할 때는, 스타 수와 다운로드 수뿐만 아니라, 프로젝트의 유지 관리 상태와 커밋 기록도 함께 확인해야 한다. 조작된 평판은 인기나 신뢰성을 accurately하게 반영하지 못할 가능성이 높으므로, 객관적인 지표를 함께 검토하는 것이 필요하다.

셋째, 유튜브와 같은 플랫폼에서 제공하는 튜토리얼이나 리뷰 영상을 무조건 신뢰하지 말고, 해당 도구의 출처와 평판을 함께 확인해야 한다. 특히, AI 내레이터를 사용한 콘텐츠는 사용자들의 판단을 왜곡할 가능성이 높으므로, 콘텐츠의 출처와 신뢰성을 꼼꼼히 검토하는 것이 중요하다.

조직의 경우, 악성코드에 대한 인지 교육을 정기적으로 실시하고, 크립토 관련 도구나 봇을 사용해야 하는 경우, 공식 채널을 통한 다운로드와 검증을 권장해야 한다. 또한, 클립보드 모니터링 기능을 비활성화하거나, 안티바이러스 소프트웨어를 최신 상태로 유지하는 등 기술적 방어도 병행해야 한다.

미래 전망: 평판 시스템의 진화와 새로운 위협의 출현

이번 캠페드는 ‘가짜 평판 경제’라는 새로운 형태의 위협이 등장했음을 보여준다. 이러한 위협은 단순히 기술적 문제뿐만 아니라, 디지털 생태계의 ‘신뢰 모델’이 어떻게 악용될 수 있는지를 보여준다. 앞으로는 AI와 머신러닝 기술이 발전하면서, 평판 시스템을 조작하는 기술도 더욱 정교해질 가능성이 높다.

예를 들어, AI가 생성한 리뷰나 댓글, 심지어는 AI 내레이터를 사용한 동영상 콘텐츠가 더욱 정교해지면서, 사용자들은 조작된 정보를 구분하기 어려워질 수 있다. 또한, 가짜 계정과 ‘고스트 네트워크’를 통한 평판 조작도 더욱 정교해질 가능성이 있다. 이러한 변화에 대응하기 위해서는, 평판 시스템 자체의 투명성과 검증 메커니즘을 강화하는 것이 필요하다.

또한, 크립토 커뮤니티와 같이 ‘빠른 이익’을 추구하는 집단은 앞으로도 이러한 위협에 노출될 가능성이 높다. 따라서, 사용자들은 ‘안전하다는 착각’을 경계하고, 항상 의심과 검증을 동반한 접근 방식을 취해야 한다. 조직의 경우, 보안 인지 교육을 강화하고, 기술적 방어 체계를 지속적으로 업데이트해야 한다.

이번 캠페드는 디지털 생태계의 ‘신뢰’라는 근본적인 문제를 다시 한번 상기시킨다. 사용자와 조직이 모두 이러한 문제를 인지하고, 대응책을 마련할 때, 비로소 안전한 디지털 환경을 구축할 수 있을 것이다.