유튜브 고스트 네트워크
악성 YouTube 계정들이 플랫폼의 인기를 악용하여 아무것도 모르는 사용자에게 악성 코드를 유포하고 있습니다. 이들은 합법적인 튜토리얼과 소프트웨어 크랙 콘텐츠를 모방하고 참여도 지표를 활용하여, 겉보기에 유용한 동영상을 감염 경로로 활용합니다.
목차
성장하고 있는 장기 운영
2021년부터 활동해 온 이 캠페인은 현재 보안 연구원들에 의해 유튜브 고스트 네트워크(YouTube Ghost Network)라는 별명으로 불리며 3,000개가 넘는 악성 동영상을 업로드했습니다. 올해 그 양은 약 세 배로 급증했고, 이로 인해 구글은 악성 콘텐츠의 대부분을 삭제해야 했습니다. 삭제 조치에도 불구하고, 이 캠페인의 규모와 모듈식 설계 덕분에 빠르게 재생성될 수 있습니다.
계획의 작동 방식: 무기로서의 신뢰
공격자는 합법적인 채널을 해킹하거나 새로운 채널을 만들어 불법 복제 애플리케이션, 게임 치트(특히 Roblox 치트), 또는 크랙된 소프트웨어를 광고하는 영상을 대체하거나 업로드합니다. 이러한 영상은 종종 세련된 튜토리얼처럼 보이며, 시청자에게 콘텐츠가 안전하다고 확신시키기 위해 눈에 띄는 신뢰 신호, 높은 조회수, 좋아요, 그리고 긍정적인 댓글을 사용합니다. 감염된 영상 중 다수는 수십만 회(보고된 조회수: 약 14만 7천~29만 3천 회)를 기록하여 이러한 미끼가 특히 효과적입니다.
역할 기반의 복원력 있는 인프라
이 네트워크의 강점은 역할 중심 구조에서 비롯됩니다. 침해된 계정에는 특정 운영 임무가 할당되어 개별 계정이 정지된 경우에도 캠페인을 계속 진행할 수 있습니다. 이러한 아키텍처는 연속성을 유지하는 데 도움이 되며, 복구를 더욱 어렵게 만듭니다.
관찰된 계정 유형은 다음과 같습니다.
비디오 계정 : 미끼 비디오를 업로드하고 설명, 고정된 댓글에 다운로드 링크를 넣거나 비디오 연습에 포함합니다.
게시물 계정 : 외부 페이지로 연결되는 커뮤니티 게시물이나 메시지를 게시합니다.
Interact 계정 : 좋아요와 격려 댓글을 추가하여 사회적 증거와 정당성을 구축합니다.
배송 체인: 링크가 이어지는 곳
동영상 설명, 댓글, 게시물에 있는 클릭 가능한 링크는 시청자를 파일 호스팅 서비스(MediaFire, Dropbox, Google Drive) 또는 무료 플랫폼(Google Sites, Blogger, Telegraph)에 호스팅된 피싱/랜딩 페이지로 리디렉션합니다. 이러한 목적지는 최종 목적지를 가리기 위해 URL 단축기를 사용하는 경우가 많으며, 이는 설치 프로그램이나 로더를 제공하는 추가 페이지로 연결되는 경우가 많습니다.
관찰된 맬웨어 패밀리 및 로더
연구자들은 네트워크를 다음과 같은 여러 정보 도용 패밀리와 Node.js 기반 로더 및 다운로더에 연결했습니다.
Lumma Stealer, Rhadamanthys Stealer , StealC Stealer, RedLine Stealer , Phemedrone Stealer 및 다양한 Node.js 로더.
학대의 구체적인 사례
@Sound_Writer(구독자 약 9,690명)라는 채널은 1년 이상 해킹을 당했으며, 라다만티스를 활용한 암호화폐 관련 영상을 호스팅하는 데 사용되었습니다.
@Afonesio1(구독자 약 129,000명)이라는 채널은 2024년 12월 3일과 2025년 1월 5일에 해킹당해 크랙된 Adobe Photoshop을 제공하는 영상을 게시했습니다. 배포된 MSI는 Hijack Loader를 제공했고, 이를 통해 Rhadamanthys가 설치되었습니다.
고스트 네트워크가 잘 작동하는 이유
이러한 캠페인은 플랫폼 자체의 참여 도구를 활용하여 정당성을 드러내기 때문에 성공합니다. 역할 기반 설정은 신속한 계정 교체와 낮은 운영 이탈률을 가능하게 하여 플랫폼 소유자가 콘텐츠를 삭제하더라도 전체 캠페인은 유지됩니다. 고스트 네트워크는 위협 행위자가 정상적인 소셜 신호와 플랫폼 기능을 무기화하여 어떻게 적응하는지를 보여주는 대표적인 사례입니다.
더 큰 추세: 전달 채널로서의 플랫폼
YouTube만 악용되는 것은 아닙니다. 공격자들은 오랫동안 해킹되거나 새로 생성된 계정을 사용하여 피해자를 악성 링크로 유도하는 튜토리얼 형식의 콘텐츠를 게시해 왔습니다. 다른 합법적인 서비스와 광고 네트워크(검색 엔진, 파일 호스트, GitHub과 같은 코드 호스팅 사이트) 또한 분산형 전송 체인(예: 관련 Stargazers Ghost Network 모델)의 일부로 악용되어 왔습니다.
보안 팀과 사용자가 해야 할 일
위험을 줄이기 위한 실질적인 단계:
- 요청하지 않은 '크랙된' 소프트웨어와 치트 다운로드는 고위험으로 간주합니다. 공급업체 사이트와 공식 매장을 선호하세요.
- 다운로드하기 전에 플랫폼 외부의 링크를 확인하세요. 목적지를 확인하지 않고 단축 URL을 따라가는 것은 피하세요.
마무리 노트
유튜브 고스트 네트워크는 현대 공격자들이 소셜 엔지니어링과 플랫폼 메커니즘을 능숙하게 결합하는 모습을 잘 보여줍니다. 이 공격은 신뢰 신호와 모듈식 계정 구조를 악용하기 때문에, 방어자는 사용자 교육, 플랫폼 경계, 그리고 기술적 통제를 결합하여 배포망을 차단하고 위협 노출 범위를 줄여야 합니다.
