암호화폐 탈취, ‘멀버타이징’ 멀웨어 ‘비상’

[애플경제 엄정원 기자] 온라인 광고 역시 해킹의 주요 통로가 되고 있다. 악성 온라인 광고(멀버타이징)를 통해 악성코드가 활발히 유포되고 있어 우려를 사고 있다. 금년 들어 처음 등장한 이런 악성코드는 멀버타이징을 통해 확산되면서 암호화폐 지갑이나, 비밀번호 등 각종 민감한 정보를 탈취하는 것으로 밝혀졌다.

최근 이를 발견한 보안업체 ‘시스코 탈로스(Cisco Talos)’ 연구원들은 이처럼 위험한 ‘PS1Bot’이라는 위험한 새로운 멀웨어 프레임워크를 발견, 주의를 당부했다.

역시 이를 공개한 보안 사이트 ‘해크리드’는 이들 연구진이 분석한 PS1Bot의 특성과 활동 수법을 블로그 게시물을 통해 상세히 소개하기도 했다.

PS1Bot의 정체와 공격 수법

PS1Bot은 2025년 초부터 활발하게 활동해 온 강력하고 정교한 수법의 멀웨어 프레임워크다. 윈도우 컴퓨터에서 자주 사용되는 프로그래밍 언어인 파워셀(PowerShell)로 만들어졌다고 해서 ‘PS1Bot’이라는 이름이 붙여졌다. PS1Bot이 매우 위험한 이유는 여러 가지 유해한 작업을 수행할 수 있기 때문이다.

민감한 정보를 훔치고, 입력 내용을 기록(키로깅이라고 하는 프로세스)하며, 컴퓨터 스크린샷을 찍을 수도 있다. 심지어 시스템을 장악하고 컴퓨터를 재시작한 후에도 그 상태를 유지할 수도 있어 더욱 치명적이다.

시스커에 따르면 또한 이 악성코드는 매우 지능적으로 정보를 유출한다. 특히 비밀번호, 브라우저 쿠키, 심지어 암호화폐 지갑 시드 문구까지 표적으로 삼는다.

그러나 이 악성코드는 매우 탐지하기 어렵다. 설계 자체가 탐지를 회피하는데 주력한 것이다. 소위 ‘메모리 내 실행’(in-memory execution)이라는 교묘한 기술을 구사한다. 유해한 프로그램을 하드 드라이브에 파일로 저장하지 않고, 컴퓨터 메모리에서 직접 실행한다.

따라서 바이러스 백신 소프트웨어가 이를 탐지하기가 훨씬 어렵다. 또한 악성코드가 본격적인 공격을 시작하기 전에 ‘시스템에 바이러스 백신 프로그램이 설치되어 있는지’를 확인까지 할 정도로 정교하고 지능적이다.

멀버타이징을 통한 확산 경로

이는 무엇보다 악성 온라인 광고, 즉 멀버타이징을 통해 확산된다는 점이 특징이다. 특히 특정한 내용의 의료정책 매뉴얼이나, 돈을 계산하기 위한 워크시트 PDF 등과 같이 흔히 찾아보는 검색어가 ‘미끼’가 될 수도 있다. 이런 내용을 검색할 경우, 자칫 컴퓨터에 압축 파일을 몰래 다운로드하는 웹사이트로 연결될 수 있다는 경고다.

해당 파일 안에는 겉보기에는 전해 해가 없을 것 같은 ‘FULL DOCUMENT.js’라는 파일이 들어있다. 그러나 이 파일을 열면 ‘PS1Bot’ 악성코드가 다운로드되어 실행되고 만다.

시스코 탈로스에 의하면 피해자들은 처음엔 압축된 아카이브 파일을 받게 된다. 그 과정에서 실제로 나타난 파일명은 ‘검색 엔진 최적화(SEO) 포이즈닝’이나, 악성 광고 캠페인에서 일반적으로 발견되는 파일명과도 같다. 즉 “파일명이 해킹의 목표물 키워드이기도 하다”는 것이다.

동일한 범죄자, 여러 종류의 멀버타이징 악성코드 살포

비록 금년 들어 발견되었지만 이미 지난 1년 이상 알게 모르게 해당 악성코드의 새로운 버전이 꾸준히 유입된 것으로 확인되었다. 이는 공격자들이 지속적으로 악성코드를 개선하고 있음을 시사하기도 한다. 시스코는 특히 ‘PS1Bot’과 ‘AHK Bot’, ‘Skitnet’과 같은 다른 악성코드 계열 간의 유사성을 발견한 것으로 전해졌다. 다시 말해 이는 동일한 사이버 범죄자들이 겉으론 서로 다른 위협의 배후에 있을 가능성을 보여주는 대목이다.

현재도 이 악성코드는 빠르게 진화하고 있어, 인터넷을 사용하는 모든 사람에게 심각한 위협이 되고 있다. 이에 “다운로드하는 내용에 항상 주의를 기울여야 한다”는 경고다. 시스코 보안팀은 “비록 파일 이름이 설명서나 문서처럼 평범하고 익숙하더라도, 생소하거나 예상치 못한 웹사이트에서 온 것이라면 의심해봐야 한다”면서 “또한, 의심스러운 팝업 광고는 클릭하지 말고 신뢰할 수 있는 웹사이트만 이용”할 것을 당부했다.