맨디언트 위협 방어 부문(Mandiant Threat Defense)은 베트남과 연계된 위협 그룹 UNC6032가 인공지능(AI) 비디오 생성 도구를 위장해 수행한 악성 광고 캠페인에 대한 조사를 발표했다. 공격자들은 루마 AI(Luma AI), 캔바 드림랩(Canva Dream Lab) 등 인기 AI 브랜드로 사칭한 광고를 소셜 미디어에 게재하고, 사용자 클릭을 유도했다.

광고를 클릭한 사용자는 AI 툴처럼 보이는 악성 웹사이트로 리디렉션되며, 사이트에서 파일을 다운로드할 경우 실제 콘텐츠 대신 인포스틸러(infostealer) 및 백도어(backdoor) 악성코드가 설치된다. 이들 악성코드는 로그인 정보, 신용카드 번호, 기타 민감 정보를 수집하며, 수집된 데이터는 사이버 범죄 시장에서 불법적으로 거래될 가능성이 있다.

소셜 미디어 이용 대규모 전파와 플랫폼 협력

맨디언트는 페이스북(Facebook)과 링크드인(LinkedIn)에서 수천 건의 악성 광고를 식별했으며, 유사한 공격이 다른 플랫폼에서도 진행 중일 가능성을 제기했다. 공격 방식은 소셜 미디어 계정을 활용해 광고를 삽입하고, 사용자 신뢰를 기반으로 악성 링크 접속을 유도하는 구조다.

이에 대응해 맨디언트는 메타(Meta)와 링크드인과 협력해 조사 결과를 공유하고, 악성 광고 및 계정 식별 및 제거 작업을 수행했다. 메타는 이미 2024년부터 악성 활동 제거를 시작했지만, 매일 새롭게 생성되는 광고의 특성상 위협은 여전히 유효하다. 맨디언트는 이를 막기 위해 업계 전반의 협력이 필수적이라 강조했다.

위협 특성과 사용자 주의사항

공격자는 합법적인 AI 도구처럼 보이도록 광고와 웹사이트를 정교하게 제작해 사용자의 경계를 낮춘다. 특히, 다운로드 유도 파일이 실행 파일(.exe)일 경우 악성코드일 가능성이 높으며, 웹사이트가 로그인 없이 콘텐츠 이용을 허용하거나 파일 미리보기 없이 다운로드를 요구하는 경우도 위험 신호다.

광고 게시 계정이 인증되지 않았거나 팔로워 수가 적고, 이전 게시물이 AI 도구와 무관한 경우도 사기 가능성이 높다. 맨디언트는 사용자가 AI 도구 사용 시, 반드시 파일 확장자(.mp4 등)와 계정 신뢰성을 확인하고, 웹사이트 내 브라우저 기반 동영상 재생 여부를 점검할 것을 권고했다.

맨디언트 위협 방어 부문 야쉬 굽타(Yash Gupta) 시니어 매니저는 “위협 행위자들은 전술, 기법 및 절차(TTPs)를 지속적으로 발전시키고 있다”며, “이번 공격은 AI 도구에 대한 대중의 신뢰를 악용한 정교한 사례”라고 설명했다. 그는 “겉보기에 정상적으로 보이는 광고도 악성 사이트로 연결될 수 있어, 개인과 조직 모두 경각심을 가져야 한다”고 강조했다.

이번 조사 결과는 맨디언트가 발표한 ‘M-트렌드 2025(M-Trends 2025)’ 보고서와도 일맥상통하며, 자격 증명 탈취가 전체 공격 벡터 중 두 번째로 높은 비중을 차지하고 있음을 보여준다. AI 도구 확산과 함께 관련 보안 위협도 급증하고 있어, 사용자와 조직 모두의 보안 인식 제고가 절실한 상황이다.