‘챗GPT 4.0 – Premium.exe’, B2B사이트 NovaLeadsAI로 위장
위장 설치 프로그램 속에 사이버록, 럭키고스트, 누메로 등 악성코드 숨어
검색엔진 최적화 장치 조작, 검색 결과 리스트 상단 배치 “속기 쉬워”
[애플경제 엄정원 기자]
[애플경제 엄정원 기자] 챗GPT 등 AI챗봇 설치 프로그램을 사칭, 변종 악성코드를 흩뿌리는 신종 랜섬웨어 수법이 발견되었다. 특히 챗GPT처럼 국제적으로 신뢰받는 도구로 위장한 프로그램에 숨은 악성코드란 점에서 더욱 경각심을 높이고 있다. 특히 검색창에 의한 검색 결과 리스트 상단에 악성코드를 심어둔 가짜 설치 프로그램을 노출하고 있어 사용자들로선 속아넘어가기 쉽다.
현재까지 발견된 악성코드는 우선 3가지 정도로 밝혀졌다. 글로벌 보안업체인 시스코 탈로스에 따르면 이들은 챗GPT를 포함한 유명 AI챗봇 프로그램으로 위장, 랜섬웨어를 감염시킨는 수법을 쓴다.
시스코 탈로스는 30일 블로그를 통해 “사이버 범죄자들이 AI 챗봇과 솔루션 제공업체로 위장, 랜섬웨어를 유포하고 있다”면서 자체적으로 탐지해낸 세 가지 주요 악성코드를 공개했다. 이에 따르면 사이버록(CyberLock), 럭키고스트(Lucky_Gh0$t), 그리고 악명높은 누메로(Numero) 등 세 가지다.
이들은 모두 AI 봇을 설치하기 위한 프로그램을 가장, 사용자들을 유인한다. 특히 이들은 검색엔진 최적화 방식(SEO)을 조작, 자신들의 가짜 프로그램을 검색 결과 리스트 상단에 노출시킨다. 챗GPT 등 AI봇 프로그램을 다운로드 받으려는 많은 사용자들의 손길이 손쉽게 다가갈 수 있도록 ‘낚시’를 드리운 셈이다.
그 중 사이버록(CyberLock)은 비즈니스 사이트인 ‘NovaLeadsAI’처럼 보이는 가짜 사이트 뒤에 숨어있다. 기업 간 거래(B2B) 서비스인 NovaLeadsAI로 위장한 악성 URL이다.
실제로 NovaLeadsAI는 .app 최상위 도메인을 사용한다. 범죄자들은 이를 사칭해 마치 실제 사이트인양 위장하면서 .app이 아닌, .com 최상위 도메인을 사용하고 있는 점이 특징이다. 특히 이들은 검색엔진 최적화 장치를 조작해 이런 가짜 웹사이트를 검색 엔진에서 관련 검색어로 검색했을 때 가장 눈에 잘 띄게 맨 위에 노출하는 경우가 많다.
사이버록(CyberLock)은 특히 치명적인 랜섬웨어 변종으로 알려져있다. 이는 일단 침투하면 사용자 기기의 특정 파일을 암호화함으로써 이를 감염시킨다. 그 후 “민감한 비즈니스 문서나, 개인 파일, 기밀 데이터베이스를 빼돌린 다음, 다시 이를 반환하는 대가로 몸값을 요구하는 메시지가 표시된다”는 것이다.
실제 최근 사례를 보면 이들 범죄자들은 몸값으로 5만 달러를 제시하며, 추적을 막기 위해 “암호화폐로 지불할 것”을 요구했다. 그러면서 가증스럽게도 “팔레스타인, 우크라이나, 아프리카, 아시아 등의 지역에 대한 인도적 지원에 사용될 것”이라며 거짓으도 둘러대기도 했다.
이들 사이버 범죄자들은 또 탈취한 문서를 외부에 노출하겠다고 협박하기도 한다. 그러나 아직까지는 “랜섬웨어 코드에 그런 살포 기능이 포함되어 있다는 증거를 찾지 못했다.”는 시스코 탈로스의 설명이다.
또 다른 악성코드인 럭키고스트(LuckyGhost) 역시 챗GPT 설치 프로그램 안에 숨어 있다.
이는 이른바 챗GPT의 정식 버전, 특히 ‘챗GPT 4.0 정식 버전 – Premium.exe’라는 파일을 다운로드하는 것처럼 위장한다. 챗GPT 챗봇은 온라인에서 무료로 이용할 수 있다. ‘럭시고스트 패키지’에는 랜섬웨어 실행 파일과 애저에서 AI 작업을 위해 제공하는 몇 가지 오픈소스 MS 도구가 포함되어 있다.
럭키고스트는 일단 설치되면 마이크로소프트 오피스 및 어도비 콘텐츠, 미디어나 각종 이미지, 백업 및 데이터베이스 파일을 포함한 다양한 유형의 파일이 묶여버린다. 사실상 탈취당한 셈이다.
누메로(Numero)는 또 다른 온라인 플랫폼인 ‘InVideo AI’를 위장, 침투한다. ‘누메로’는 파일 메타데이터에 ‘InVideo AI’ 이름을 달아, 악성 파일을 다운로드하도록 사용자를 유인한다. 이런 가짜 설치 프로그램이 설치되면 'wintitle.exe'라는 실행 파일이나, 악성 윈도우 배치 파일, 그리고 MS의 비주얼베이직 기반 프로그래밍 언어인 ‘VB스크립트’로 위장한 파일이 사용자 기기에 저장된다. 심지어 깃 허브 저장소에서도 이같은 감염 징후가 포착되기도 했다.
이런 악성코드 변종은 특히 검색 엔진 결과 상단에 있는 제품 목록을 포함한 링크에 노출되는 경우가 많아 더욱 주의가 필요하다는 조언이다. 또한 “파일을 다운로드하기 전에 반드시 URL, 웹사이트, 앱을 철저히 검사해야 한다”는 주문도 따른다.