[아이티데일리] 유튜브에서 무료 게임 치트나 포토샵 크랙판 등을 내려받을 수 있다며 사용자를 유인하는 영상들이 대규모 악성코드 유포 창구로 활용되고 있는 것으로 확인돼 사용자들의 주의가 필요하다.

사이버 보안 업체 체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)의 연구 조직인 체크포인트 리서치(Check Point Research, 이하 CPR)는 최근 유튜브에서 ‘게임 치트’나 ‘소프트웨어 크랙판’을 위장한 영상을 통해 악성코드가 대규모로 유포되고 있다고 경고했다. CPR은 이번 캠페인을 ‘유튜브 고스트 네트워크(YouTube Ghost Network)’라 명명하고, 약 3천 개 이상의 악성 영상을 확인했다고 밝혔다.

보고서에 따르면 공격자들은 게임 ‘로블록스(Roblox)’의 치트, 어도비 포토샵(Adobe Photoshop) 크랙(Crack; 정품인증 우회도구), 윈도우 정품 인증 도구 등 이용자의 관심을 끌 만한 주제를 내세워 동영상을 제작하고, 영상 설명란이나 댓글에 다운로드 링크를 첨부했다.

이 링크를 통해 제공된 파일에는 정보 탈취형 악성코드인 ‘라다만티스(Rhadamanthys)’, ‘루마(Lumma)’, ‘레드라인(RedLine)’ 등이 포함돼 있었으며, 실행 시 피해자의 시스템에서 브라우저 저장 암호, 디스코드 토큰, 암호화폐 지갑 정보 등을 수집해 외부 서버로 전송하는 것으로 확인됐다.

CPR은 특히 공격자들이 단순히 악성 파일을 배포하는 수준을 넘어, 탈취한 다수의 유령 계정을 악용해 조회수와 ‘좋아요’, 댓글을 인위적으로 조작함으로써 영상의 신뢰도를 높였다고 지적했다. 연구진은 “공격자들은 서로 연계된 가짜 계정과 자동화된 봇 네트워크를 활용해 영상 노출을 극대화하고, 유튜브의 추천 알고리즘을 조작했다”고 설명했다.

또한 CPR은 이번 캠페인을 통해 2025년 들어 악성 영상이 급격히 증가하는 현상을 확인했으며, 공격자들이 ‘무료(free)’나 ‘치트(cheat)’ 같은 키워드를 조합함으로써 검색 상위 노출을 유도했다고 덧붙였다. 이를 통해 공격자들이 주로 젊은 이용자층을 겨냥하고 있으며, 특히 게임 관련 커뮤니티나 소프트웨어 다운로드를 자주 이용하는 사용자들이 주요 표적이 되고 있는 것으로 나타났다.

보고서에서 CPR은 “유튜브 고스트 네트워크는 단일 공격자가 아닌, 조직적으로 운영되는 악성 인프라”라며 “수천 개의 영상과 계정을 통해 악성 페이로드를 퍼뜨리고, 지속적으로 새로운 링크와 계정을 생성하며 활동 범위를 확장하고 있다”고 밝혔다.

체크포인트는 구글에 이번 캠페인과 관련된 영상 및 채널을 신고했으며, 구글이 대부분의 콘텐츠를 삭제했다고 전했다. 그러나 CPR은 “이 같은 악성 콘텐츠는 계속해서 새로운 형태로 재등장하고 있다”며 “사용자는 영상 설명란의 다운로드 링크를 신중히 검토해야 한다”고 경고했다.