가짜 ChatGPT 데스크톱 앱 주의! 파이프매직 악성코드 유포 중

최근 마이크로소프트(Microsoft)가 가짜 ChatGPT 데스크톱 애플리케이션을 통해 악성코드 ‘파이프매직(PipeMagic)’이 유포되고 있다는 경고를 발표했습니다. 깃허브(GitHub)의 오픈소스 프로젝트를 변조하여 악성 코드를 심는 방식으로, 사용자들의 각별한 주의가 필요합니다. 이 악성코드는 백도어 기능과 정보 탈취 기능을 모두 가지고 있어 더욱 위험합니다.

파이프매직의 위협

마이크로소프트에 따르면 파이프매직은 깃허브에서 시작된 악성코드 프레임워크입니다. 공격자는 오픈소스 ChatGPT 데스크톱 애플리케이션 프로젝트를 위장하여 악성 드롭퍼를 심고, 이를 통해 악성 코드를 메모리에 로드하여 실행합니다. 변조된 깃허브 프로젝트에는 암호화된 페이로드를 해독하고 실행하는 악성 코드가 포함되어 있습니다.

Storm-2460 그룹의 소행

이 악성코드는 'Storm-2460'이라는 위협 그룹의 소행으로 밝혀졌습니다. 이들은 과거에도 Common Log File System의 제로데이 취약점을 악용하여 RansomEXX 랜섬웨어를 배포한 전력이 있습니다. 이번에는 동일한 취약점(CVE-2025-29824)을 악용했지만, 어떤 종류의 암호화 도구가 사용되었는지는 구체적으로 밝혀지지 않았습니다.

진화하는 파이프매직

파이프매직은 초기에는 단순한 백도어 트로이 목마로 알려졌지만, 현재는 고도로 모듈화된 악성코드 프레임워크로 진화했습니다. 이를 통해 공격자는 페이로드를 동적으로 실행하고, 지속적인 제어권을 유지하며, 은밀하게 명령 및 제어 서버와 통신할 수 있습니다. 파이프매직은 암호화된 페이로드 모듈을 메모리에서 관리하고, 권한 상승을 수행하며, 광범위한 시스템 정보를 수집하고, 연결 리스트 아키텍처를 통해 임의의 코드를 실행할 수 있습니다.

감염 대상 및 피해

마이크로소프트는 감염된 피해자 수가 "제한적"이라고 밝혔지만, 구체적인 숫자는 공개하지 않았습니다. 감염 대상은 미국, 유럽, 남미, 중동 등 다양한 지역에 분포되어 있으며, IT, 금융, 부동산 등의 산업이 주요 표적이었습니다.

예방 및 대응 방안

마이크로소프트는 파이프매직의 위협에 대응하기 위해 다층 방어 전략을 권장합니다. 여기에는 Microsoft Defender for Endpoint에서 변조 방지 및 네트워크 보호를 활성화하고, 엔드포인트 탐지 및 대응(EDR)을 차단 모드로 실행하는 등의 조치가 포함됩니다.

맺음말

가짜 ChatGPT 데스크톱 앱을 통한 악성코드 유포는 점점 더 정교해지는 사이버 공격의 단면을 보여줍니다. 사용자들은 출처가 불분명한 소프트웨어 다운로드를 지양하고, 보안 시스템을 최신 상태로 유지하며, 의심스러운 링크나 첨부 파일을 클릭하지 않도록 주의해야 합니다. 항상 공식 채널을 통해 소프트웨어를 다운로드하고, 백신 프로그램을 꾸준히 업데이트하는 것이 중요합니다.