Security

심리전 대가의 기획? 깃허브 커밋 활용한 악성 캠페인

문가용 기자

Published: 02:38, 09 Sep 2025 (Updated: 09:01, 10 Sep 2025)

💡

Editor's Pick
- 악성 광고 띄우고 도메인에 깃허브 커밋 넣어
- 유명 서비스 이름값 + IT 전문가에게 익숙한 콘텐츠
- 점점 사람 심리 노리는 사이버 공격자들

기존 악성 광고 캠페인을 응용한, 새로운 유형의 사이버 공격이 등장했다. 보안 업체 아크틱울프(Arctic Wolf)에 의하면 공격자들이 노리는 건 깃허브 데스크톱(GitHub Desktop) 등 인기 많은 생산성 도구들을 찾는 사용자들이라고 한다. 이런 사용자들 중 특히 광고를 통해 필요한 도구들을 구매하거나 다운로드 받으려는 부류들이 위험한 것으로 밝혀졌다.

기존 vs. 현재
기존의 악성 광고 캠페인은, 여러 웹사이트나 플랫폼에 정상적으로 보이는 광고를 띄워 클릭을 유도한 뒤, 클릭한 사용자를 엉뚱한 사이트로 접속시키는 것을 골자로 삼고 있다. 이런 수법은 여전히 성행하며, 아무 광고나 클릭하지 않음으로써 피해를 최소화 하는 게 보통이다. 여기서 ‘아무 광고나 클릭하지 않는다’는 건, 꼭 필요한 물품이나 서비스에 대한 광고만 클릭한다는 걸 말하기도 하지만, 클릭 전에 광고 위에 마우스 커서를 먼저 올려(마우스 오버) 링크를 확인한 후 정상적으로 보일 경우에만 클릭하는 걸 뜻하기도 한다.

악성 광고로 멀웨어를 유포하거나 피싱 공격을 하는 행위가 늘어가면서 사용자들 사이에서 악성 링크를 눈으로 확인하는 것 역시 조금씩 익숙해져 가고 있다. 그래서 공격자들은 마우스 오버를 통해 나타나는 링크가 덜 수상해 보이도록 하는 방법들을 여러 가지로 동원한다. 최근에는 유명 회사의 도메인(예 : google.com, microsoft.com 등)을 악용하는 방법이 유행하고 있다.

이번에 아크틱울프에서 발견한 ‘새 수법’은 어디가 어떻게 다른 걸까? 큰 틀에서 보면 악성 도메인을 덜 수상하게 보이게 한다는 맥락에서 동일하다고 할 수 있다. 하지만 덜 수상하게 보이도록 만들기 위해 ‘깃허브 커밋’이라는 걸 활용했다는 점에서 색다르다고 아크틱울프는 평가한다.

💡

여기서 잠깐!
‘깃허브 커밋’이란 무엇일까? 이를 이해하려면 깃(Git)과 깃허브(GitHub)와 커밋(commit)을 따로따로 알아야 한다. ‘깃’은 코드의 버전을 관리하는 시스템이다. 1.0.1, 1.0.2, 1.0.3 등 버전을 중앙에서 통일성 있게 관리하게 해 주는 것인데, 이 때 개발자들은 버전이 바뀌면서 정확히 어떤 내용에 변경이 있었는지를 기록하는 게 보통이다. 그 기록 하나하나를 ‘커밋’이라고 한다. 1.0.1을 1.0.2 버전으로 변경하면서 ‘일부 버그 수정’이라고 메모를 남겨두면, 그 메모가 하나의 커밋이 된다. 깃허브는 깃을 저장, 관리, 운영해 주는 유명 온라인 서비스다. 그러므로 ‘깃허브 커밋’이란, 유명한 인터넷 코드 저장소에 저장돼 있는 버전 변경 세부 내용에 대한 기록이라고 할 수 있다. 이 커밋을 개발자들이 링크 형태로 공유하면, 누구라도 그 링크를 통해 뭐가 어떻게 바뀌었는지 확인할 수 있다.

“악성 링크에 깃허브 커밋이 들어가 있으면, 일단 ‘깃허브’라는 유명 서비스의 이름이 등장하므로 덜 수상하게 보입니다. 게다가 깃허브를 어느 정도 사용해 본 사람들이라면 커밋 페이지를 열람해본 경험을 가지고 있을 가능성이 높지요. 링크에 깃허브 커밋이 포함돼 있으면 그 이전 경험이 발동되면서 의심이 자연스럽게 사라질 수도 있습니다. 즉 의심을 피하기 위해 두 가지 장치를 겹쳐놓은 것이라고 할 수 있습니다.”

하지만 ‘오, 깃허브 커밋이네’라면서 클릭한 사람들은 엉뚱한 페이지로 연결된다. “사용자가 접속하게 되는 것은 GITPAGE.APP이라는 이름의 페이지입니다. 뭔가 깃허브나 깃 관리 시스템과 연결되어 있을 것만 같은 이름이죠. 하지만 이 페이지에는 악성코드가 호스팅 되어 있고, 사용자는 이를 다운로드 하게 돼 있습니다.” 이 캠페인은 최소 2024년 12월부터 지금까지 진행돼 온 것으로 분석됐다.

공격 표적은 IT 전문가들
‘깃허브 커밋’을 미끼로 썼다는 건 공격자들이 노리던 게 코딩을 해본 사람들 혹은 IT 분야 전문가들이라는 의미가 된다. 일반인이 링크에 섞인 깃허브 커밋을 알아볼 리도 없고, 알아본다 한들 그것을 궁금해 할 가능성도 낮기 때문이다. 아크틱울프는 “이번 캠페인의 피해자는 대부분 IT 및 소프트웨어 개발사였다”고 말한다. 지역은 ‘서유럽’이 대부분이었다고 덧붙이기도 했다.

악성 페이지를 통해 제일 먼저 다운로드 되는 건 1단계 악성코드다. 마이크로소프트 설치 프로그램인 MSI 파일로 위장돼 있으며, 128MB라는 용량을 자랑한다. 설치 프로그램이니 피해자 입장에서 파일 크기가 문제되지 않는다. “또한 그 크기 때문에 대부분의 온라인 보안 샌드박스를 회피하기도 합니다.”

흥미로운 건 이 1단계 악성코드가 GPU를 기반으로 복호화 작업을 실행한다는 것이다. 따라서 피해자 시스템에 GPU가 없다면 주요 페이로드가 복호화 되지 않는다. 암호화 상태를 유지한다는 것으로, 적절한 피해자 시스템에 침투했다면 들킬 확률이 줄어든다는 장점이 있다. 이런 기법을 지피유게이트(GPUGate)라 부르기도 한다. 지피유게이트 기법이 활용됐다는 건 어떤 의미일까? 보안 전문가들의 눈을 피하기 위해 애를 썼다는 뜻이다.

“GPU는 게임을 많이 하는 사람이나 그래픽 작업을 주로 하는 사람들의 시스템에 설치돼 있습니다. 가상기계나 샌드박스 등을 이용하는 개발자나 보안 연구원들, 그 외 다른 IT 전문가들의 경우에는 GPU가 많이 없습니다. GPU까지 설치된 최신 컴퓨터에 가상 환경을 마련해 위험 요소들을 분석하지는 않기 때문입니다. 만일의 경우에 대비해 오래되거나 낡은 컴퓨터를 그런 가상 환경 구성에 활용하죠. 이번 공격자가 지피유게이트 기법을 활용했다는 건, 이러한 IT 전문가들의 특성을 잘 이해하고 있다는 뜻이 됩니다.”

GPU가 없는 시스템에서는 잠자코 있다가(즉 분석 환경이 우려될 때는 얌전히 있다가) GPU가 있는 곳에 당도해 복호화까지 성공하면, 그 다음은 무엇일까? 악성 비주얼베이직 스크립트가 실행된다. 이 스크립트는 파워셸 스크립트를 관리자 권한으로 실행한다. 이 과정에서 MS 디펜더 조작과 스케줄러 조정이 진행되기도 한다. 보안 장치 회피 및 공격 지속성 확보를 위한 것이다.

“그리고 맨 마지막에는 집(zip) 아카이브가 하나 다운로드 되고, 여기서 실행파일들이 추출됩니다.” 이 실행파일들은 공격자들이 그 때 그 때 필요에 따라 변경하는 것으로 파악된다. 주로 정보 탈취용 멀웨어가 발견되고 있는데, 이후 랜섬웨어와 같은 멀웨어가 확산될 가능성도 충분하다고 아크틱울프는 보고 있다. 악성 스크립트 내에서는 러시아어 주석이 발견됐다. 공격자들이 러시아어를 모국어로 사용하고 있는 게 분명해 보인다고 아크틱울프는 해석한다.

“공격자들은 합법적 광고 플랫폼을 통해, 합법적으로 보이는 서비스의 이름(즉, 깃허브 커밋)을 노출시킴으로써 자신들의 악의를 감추려 했습니다. 결국 사용자만 속이면 시스템도 속일 수 있다는 개념을 밑바탕에 깔고 있다고 볼 수 있습니다. 최근 해킹 범죄는 ‘심리 싸움’에 더 가까워지는 경향이 있는데, 이 역시 사용자를 속이는 게 공격의 지름길이라는 걸 공격자들이 이해하고 있다는 걸 반증합니다. 시스템 강화도 중요하지만 사용자 보안 인식 제고가 더 시급한 문제일 수 있습니다.”