‘gptforchrome(.)com’, ‘루마 스틸러’, ‘안드로이드 SpinOk SDK’ 등
챗GPT로 위장, 암호화폐 절도, SDK 악용 스파이웨어로 작동
[애플경제 이윤순 기자] 연말연시를 맞아 특히 챗GPT로 가장하거나, 마케팅 SW개발 키트로 위장한 스파이웨어, 암호화폐를 훔치는 악성코드가 기승을 떨고 있는 것으로 나타났다.
글로벌 사이버 보안 회사들인 ESET과, 닥터웹, 세코이아(Sekoia)등의 최근 조사결과를 종합해보면, 특히 금년 하반기 이후 이들의 공격이 급증하고 있어 주의가 요망된다. 이에 따르면 ‘chatgpt’라며 챗GPT인양 속이는 악성코드, 그리고 수 개월 전부터 국내에서도 잘 알려진 악성코드 ‘루마 스틸러’, 스파이웨어 ‘Android SpinOk SDK’가 대표적이다.
‘ChatGPT’ 이름 사칭 수법 극성
ESET에 따르면 금년 하반기부터 ‘ChatGPT’를 사칭한 ‘chatgpt’ 또는 이와 유사한 문자열이 이름에 포함된 악성 도메인이 세계 각국에서 65만건이나 되었다.
이는 챗GPT용 오픈AI API를 절취 도구로 쓴다. 본래 API에는 철저하게 보호되고 사용자에게 절대 노출되지 않는 비공개 API 키가 필요하다. 그러나 일부 앱의 경우 챗GPT를 사용할 수 있도록 사용자에게 API키를 달라고 요청하는게 문제다.
이때 “앱이 API키를 받아서 개발자의 서버에 보내면, 키가 유출되거나 오용되지 않을 것이라는 보장이 전혀 없다”는 ESET사의 지적이다.
이렇게 API 키를 도둑맞을 경우 사용자는 억울하게 오픈AI에게 요금을 내야 한다. 개인 API 키를 절취한 제3자나 사이버공격자는 비용을 전혀 지불하지 않고 마음대로 앱을 사용할 수 있는 것이다. 공격자는 이를 다른 사이버 범죄자에게 재판매할 수도 있다.
ESET사는 “또한 2023년 하반기에는 ‘ChatGPT’ 위장과 사기를 염두에 둔, ‘JS/Chromex.Agent.BZ’라는 악성 구글 크롬 브라우저 확장 프로그램이 기승을 떨고 있다”면서 “예를 들어 ‘gptforchrome(.)com’이 그런 경우”라고 조심할 것을 당부했다.
그러면서 “사용자는 이러한 위협에 대비, 챗GPT와 관련된 의심스러운 웹사이트를 탐색하지 않도록 해야한다”면서 “특히 개인 챗GPT API 키를 철저히 보호하고, 절대 공유하지 않아야 할 것”이라고 권했다.
하반기 이래 전자지갑 절도 급증 ‘루마 스틸러’
루마 스틸러(Lumma Stealer)악성 코드도 극성이다. 역시 ESET사에 따르면 주로 암호화폐 절도를 일삼는 이 악성코드는 지난 하반기 이래 68% 이상 증가했다.
이른바 ‘서비스형 악성코드’인 루마 스틸러는 암호화폐 지갑이나 사용자 자격 증명, 이중 인증 브라우저 확장 프로그램을 표적으로 삼는다. 또한 데이터 추출 기능도 있어 금융 사기나, 사이버 스파이 행위도 하곤 한다.
더욱 문제는 미화 250달러에서 미화 2만달러에 이르는 다양한 ‘성능’의 루마 스틸러가 활발히 유통되고 있다는 점이다. 그중 가장 높은 옵션의 경우, 악성 코드의 C소스 코드 전체에 접속할 수 있다. 구매자는 또 개발자와 별도로 악성코드를 재판매할 수도 있어 더욱 확산을 부추기고 있다.
루마 스틸러 악성코드는 악명 높은 ‘Mars’, ‘Arkei’, ‘Vidar’ 등의 스틸러와 공통 코드를 기반으로 하고 있다. 사이버 보안 회사인 세코이아는 “그런 점에 미뤄, 분명 동일한 인물이 개발했을 가능성이 매우 높다”고 짚었다.
루마 스틸러는 확산을 위해 다양한 배포 벡터를 사용한다는 점도 알아둘 필요가 있다. 대표적으로 소프트웨어 크랙 설치, 유튜브, 가짜 브라우저 업데이트, 디스코드(Discord) 콘텐츠 전달 네트워크, 타사 악성 코드 로더인 ‘Win/TrojanDownloader.Rugmi’를 통한 설치 등이다.
ESET사는 “이런 맬웨어 감염으로 이어질 수 있는 일반적인 취약점으로 인해 손상되지 않도록 운영 체제와 해당 소프트웨어를 항상 최신 상태로 유지하고 패치를 적용해야 한다”면서 “또한 사용자는 IT전문가나 팀의 적절한 분석 없이 소프트웨어를 다운로드하고 설치해선 결코 안 될 것”이라고 했다.
마케팅 SW개발 키트의 변종, ‘SpinOk SDK’
이른바 모바일 마케팅 SW개발 키트의 일종인 ‘SpinOk 스파이웨어’도 문제다. 이 역시 2023년 하반기 기준으로 가장 많이 안드로이드를 공격한 스파이웨어 중 하나로 꼽혔다.
SpinOk SDK는 개발자에게 애플리케이션 트래픽으로 수익을 창출할 수 있는 게임 플랫폼을 제공한다. 그래서 공식 Android 마켓플레이스에서 이미 제공되는 앱을 포함해 여러 개발자들은 자신의 앱에 SDK를 통합하곤 한다. 그러나 ESET사에 따르면 애플리케이션이 실행되면 스파이웨어로 작동하기 시작한다. “명령 및 제어 서버에 연결한 후 잠재적으로 민감한 클립보드 콘텐츠를 포함해 안드로이드 기기에서 데이터를 추출한다”는 것이다.
이는 특히 보안을 위한 탐지기능을 회피하는 기능도 있다. 자이로스코프와 자력계를 사용, 공격 대상이 가상 환경이나 실험실 환경에서 실행되고 있는지 여부를 확인한다. 만약 그렇다면 숙련된 연구원의 탐지를 피하기 위해 방식을 바꾸기도 한다.
SDK는 그 동안 다양한 합법적인 안드로이드 앱에 통합되었다. 또 다른 보안회사 ‘닥터웹’이 파악한 바에 의하면, 그 동안 101개의 Android 앱이 악성 SDK를 사용했으며, 누적 다운로드 횟수는 4억 2100만 건이 넘었다.
그러나 이같은 ‘SpinOk’ 보안사고가 끊이지 않자, 구글은 구글 플레이 스토어에서 해당 애플리케이션을 모두 제거했다. ‘SpinOk’을 관리하는 업체는 닥터웹을 통해 모든 스파이웨어 기능을 제거한 버전 2.4.2로 모듈을 업데이트했다.
이들 사이버보안 회사들은 이런 악성 공격에 대응하기 위해선 일단 “제3자 코드에서 이상 징후가 있는지 분석하면, 악성 콘텐츠나 기능이 포함된 코드에 감염되는 것을 방지할 수 있다”면서 “정적 분석 도구를 사용하여 잠재적인 취약점이나 동작을 탐지하는 방법”도 권했다. 또 의심스럽거나 예상치 못한 트래픽이 있는지 네트워크 트래픽을 모니터링할 필요가 있다. 코드 제공자가 공유할 수 있는 보안 인증이나 감사도 면밀히 조사하는게 바람직하다.