구글 클라우드 사이버보안 조직 맨디언트는 AI 도구를 사칭한 악성 광고를 통해 악성코드를 유포한 해킹그룹 'UNC6032'를 포착하고 조사 결과를 28일 발표했다. 해당 그룹은 베트남과 연계된 조직으로 추정된다.
UNC6032는 루마 AI, 캔바 드림랩 등 인기 인공지능(AI) 기반 비디오 생성 도구를 사칭한 광고를 페이스북, 링크드인 등 소셜 미디어에 다수 게재했다. 이용자가 광고를 클릭하면 AI 서비스로 위장한 악성 사이트로 연결되고, 이곳에서 파일을 다운로드하면 정보탈취 악성코드와 백도어가 설치된다.
맨디언트에 따르면 해당 악성코드는 사용자 로그인 자격 증명, 신용카드 정보, 쿠키 등 민감한 데이터를 수집하며, 수집된 정보는 외부로 전송된다. 일부 악성 파일은 'Video Dream MachineAI.mp4.exe'처럼 동영상 파일로 위장돼 있었다.
광고는 유럽연합(EU) 지역을 포함해 약 230만 명 이상에게 노출됐고, 링크드인에서는 최대 25만 회 이상 노출된 사례도 확인됐다. 맨디언트는 메타와 협력해 일부 악성 광고와 계정을 제거했지만, 새로운 광고가 지속적으로 생성되고 있어 업계 차원의 대응이 필요하다고 밝혔다.
야쉬 굽타 맨디언트 위협 방어 부문 시니어 매니저는 "위협 행위자들은 지속적으로 전술, 기법, 절차를 진화시키고 있다"며 "이번 공격은 AI 도구의 인기에 악성 광고를 결합해 무기로 삼은 사례"라고 설명했다. 그는 이어 "AI 도구를 가장한 정교한 웹사이트는 개인과 조직 모두에게 위협이 될 수 있으며, 겉보기에 무해해 보여도 광고를 통해 연결되는 웹사이트에 접속할 때는 각별한 주의가 필요하다"고 덧붙였다.