AI 두구를 악용한 사이버 위협이 증가하고 있는 것으로 나타났다.

글로벌 사이버 보안 기업 맨디언트(Mandiant)는 AI 도구에 대한 대중의 관심을 악용하는 베트남 연계 위협 그룹 UNC6032의 캠페인을 분석한 조사 결과를 발표했다.

UNC6032는 인기 AI 비디오 생성 도구인 루마 AI(Luma AI), 캔바 드림랩(Canva Dream Lab) 등의 브랜드를 사칭해 소셜 미디어에 악성 광고를 게재하고, 사용자가 클릭하도록 유도하는 방식으로 공격을 수행하고 있다.

사용자가 광고를 클릭하면 AI 도구로 위장한 악성 사이트로 이동하며, 파일을 다운로드할 경우 실제 AI 콘텐츠가 아닌 인포스틸러(infostealer) 악성코드 및 백도어(backdoor)가 설치된다.

이를 통해 공격자는 피해자의 로그인 자격 증명, 신용카드 정보 및 기타 민감한 데이터를 은밀하게 탈취할 수 있으며, 수집된 정보는 사이버 암시장에서 거래될 가능성이 높다.

맨디언트가 발표한 M-트렌드 2025(M-Trends 2025) 보고서에 따르면, 자격 증명 탈취는 초기 감염 경로 중 두 번째로 높은 비중을 차지할 정도로 개인과 기업 모두에게 심각한 보안 위협이 되고 있다.

맨디언트 위협 방어 부문(Mandiant Threat Defense)은 페이스북(Facebook)과 링크드인(LinkedIn) 같은 소셜 미디어 플랫폼에서 수천 건 이상의 악성 광고를 식별했으며, 유사한 캠페인이 다른 플랫폼에서도 활발하게 운영되고 있을 가능성이 크다고 경고했다.

이에 따라 맨디언트는 메타(Meta) 및 링크드인과 협력하여 조사 결과를 발표했다.

메타는 2024년부터 악성 광고, 도메인 및 계정을 탐지하고 제거하는 작업을 진행해왔지만, 새로운 악성 광고가 지속적으로 생성되고 있어 더욱 강력한 대응이 필요하다는 점을 강조했다.

맨디언트는 AI 도구를 사칭한 악성 광고로부터 사용자들이 보호될 수 있도록 몇 가지 예방 조치를 제안했다.

대부분의 정상적인 AI 웹사이트는 프롬프트 입력을 위해 계정 생성이나 로그인을 요구한다. 로그인이 필요 없는 사이트는 주의할 필요가 있다.

정상적인 AI 웹사이트는 웹 브라우저(크롬, 파이어폭스, 사파리 등) 자체에서 동영상을 재생하며, 별도의 파일 다운로드를 요구하지 않는다.

동영상 형식(.mp4)인지 반드시 확인하고, .exe 파일일 경우 다운로드를 피해야 한다.

인증되지 않은 계정, 팔로워 수가 적거나 AI 관련 게시물이 거의 없는 계정에서 광고를 게재할 경우 의심해야 한다.

맨디언트 위협 방어 부문 야쉬 굽타(Yash Gupta) 시니어 매니저는 “위협 행위자들은 지속적으로 전술, 기법 및 절차(TTPs)를 진화시키고 있으며, 이번 공격은 AI 도구의 인기를 활용해 악성 광고를 무기로 삼은 사례”라고 설명했다.

이어 굽타 매니저는 “AI 도구를 사칭한 정교한 악성 웹사이트는 개인과 기업 모두에게 심각한 위협이 될 수 있다. 겉보기에 무해해 보이더라도 광고를 통해 연결되는 웹사이트 접속 시 각별한 주의가 필요하다”고 경고했다.