노드VPN, GTA6 기대감 노린 악성코드·피싱 확산

노드VPN(NordVPN)은 GTA 6 출시를 앞두고 이용자 기대 심리를 악용한 악성코드와 피싱 공격이 확산하고 있다고 9일 밝혔다.

노드VPN 위협 인텔리전스 연구팀은 최근 GTA 6 사전 예약이 임박했다는 소문을 악용한 가짜 설치파일, 허위 베타 키, 안드로이드 애드웨어 앱, 피싱 사이트가 유포되고 있다고 분석했다. 애드웨어는 이용자 기기에서 광고를 반복적으로 노출하는 프로그램이다. 피싱은 가짜 로그인 화면이나 사이트로 계정 정보를 빼내는 공격 방식이다.

이번 공격은 PC와 모바일 이용자를 겨냥했다. 노드VPN은 GTA 6가 초기 출시 때 PC와 모바일 플랫폼에서 제공되지 않을 예정이지만 공격자들이 ‘GTA 6 베타’, ‘사전 플레이 가능 버전’ 등을 내세워 이용자 다운로드와 가짜 사이트 방문을 유도하고 있다고 설명했다.

대표 수법은 가짜 베타 키 사기다. 노드VPN은 PS5와 엑스박스 시리즈(Xbox Series)용 GTA 6 베타 키를 제공한다고 주장하는 사기 사이트를 확인했다. 해당 사이트는 이용자를 봇 인증 절차로 유도한 뒤 유료 서비스 가입이나 불필요한 프로그램 설치를 요구했다.

윈도우 이용자를 노린 악성코드 유포도 발견됐다. 공격자는 유명 게임 리팩 사이트를 모방한 가짜 웹사이트에서 게임 파일로 위장한 트로이목마 악성코드를 배포했다. 트로이목마는 정상 파일처럼 보이지만 실행 뒤 몰래 악성 행위를 하는 악성코드다. 일부 악성코드는 엔비디아(NVIDIA) 그래픽 드라이버 구성 요소로 위장해 추가 악성코드를 내려받거나 외부 서버와 통신하는 것으로 확인됐다.

모바일 환경에서는 ‘GTA 6 Beta’라는 이름의 가짜 앱이 유포됐다. 이 앱은 락스타 게임즈(Rockstar Games)의 공식 브랜딩과 인트로 영상을 활용해 실제 게임처럼 보이게 꾸몄다. 그러나 게임 기능은 제공하지 않았다. 앱은 광고를 반복 노출하고 인증 절차를 가장해 유료 서비스 가입이나 추가 악성코드 설치를 유도했다.

노드VPN은 해당 앱이 과거 인포스틸러, 뱅킹 트로이목마, 애드웨어, 랜섬웨어 유포에 쓰인 악성 인프라와 연관된 정황도 포착했다고 밝혔다. 인포스틸러는 계정 정보나 브라우저 저장 정보 등을 훔치는 악성코드다. 랜섬웨어는 파일을 암호화한 뒤 금전을 요구하는 공격에 쓰인다.

락스타 소셜 클럽(Rockstar Social Club) 계정을 노리는 수백개 피싱 사이트도 발견됐다. 공격자는 깃허브(GitHub)와 버셀(Vercel) 등 정상 플랫폼에 가짜 로그인 페이지를 만들고 계정 정보를 수집했다. 탈취된 계정은 다크웹 거래나 게임 내 사기에 악용될 수 있다.

노드VPN은 피해를 줄이기 위해 게임 관련 콘텐츠를 공식 플랫폼에서만 내려받아야 한다고 조언했다. 베타 키나 사전 플레이 권한을 제공한다는 사이트는 공식 여부를 확인해야 한다. 출처가 불분명한 설치 파일은 내려받지 말고 로그인 전 주소도 확인해야 한다. 공식 플랫폼이 아닌 사이트에서 로그인을 요구하면 이용을 중단해야 한다.

마리우스 브리에디스(Marijus Briedis) 노드VPN 최고기술책임자(CTO)는 “GTA 6에 대한 높은 기대감은 사이버 범죄자들에게도 매력적인 공격 기회가 된다”며 “베타 키나 사전 플레이를 내세운 사이트는 반드시 공식 여부를 확인하고 출처가 불분명한 다운로드 링크와 로그인 페이지 이용은 자제해야 한다”고 말했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network