본문 바로가기
보안/팁

귀여운 판다 이미지에 숨어있던 악성코드, 'Koske'

by Blacksawsage 2025. 8. 6.

최근 보안 전문가들은 특이한 방식으로 침투하는 정교한 악성코드를 발견했습니다. 겉보기엔 단순한 판다 이미지처럼 보이지만, 실상은 ‘Koske’ 라는 이름을 가진 디지털 도둑이 숨어 있었습니다. 이 악성코드는 인공지능(AI)의 도움을 받아 만들어진 것으로 보이며, 매우 교묘한 방식으로 컴퓨터를 감염시킵니다.

 

공격의 시작은 ‘열린 연구노트’

이 공격은 ‘쥬피터랩(JupyterLab)’이라는 프로그램의 설정 오류를 통해 시작되었습니다. JupyterLab은 개발자나 연구자들이 데이터를 분석하고누구나 접근할 수 있도록 잘못 설정되어 있던 것입니다. 실험을 기록하는 데 쓰는 디지털 노트입니다. 마치 실험실 노트를 인터넷에 올려두고 쓰는 것과 비슷합니. 문제는 이 노트가 누구나 접근할 수 있도록 잘못 설정되어 있던 것입니다.

공격자는 이 열려 있는 노트북에 접근하여, 단축 주소를 이용해 두 장의 ‘판다 이미지 파일’을 다운로드합니다. 하지만 이 이미지는 일반 사진이 아닙니다. 사진처럼 보이도록 위장된 파일 속에는 실제로 컴퓨터를 조종하는 악성 스크립트가 숨겨져 있었습니다.

 

이미지처럼 보이지만, 사실은 ‘명령서’

이 판다 사진들은 겉보기엔 JPEG 이미지지만, 사실은 사진과 함께 ‘코드’가 붙어 있는 속임수 파일입니다. 이런 걸 ‘폴리글롯(Polyglot) 파일’이라고 부릅니다. 이미지로는 보이지만, 내부에는 컴퓨터에게 특정 동작을 시키는 지시사항이 숨어 있는 것입니다. 이미지 뷰어로 보면 판다가 보이지만, 컴퓨터가 해당 파일을 프로그램으로 실행하면, 바로 악성 행위가 시작됩니다.

 

흔적도 남기지 않는 정교한 작전

이 악성코드는 우리가 흔히 생각하는 방식처럼 설치되어 돌아가는 프로그램이 아닙니다. 메모리에서만 실행되기 때문에, 하드디스크에는 흔적이 거의 남지 않습니다. 덕분에 대부분의 백신 프로그램도 이 악성코드를 제대로 탐지하지 못합니다.

 

또한 감염 후에는 ‘루트킷(rootkit)’이라고 불리는 은폐 기술도 사용합니다. 쉽게 말해, 시스템의 눈과 귀를 가리는 가면을 쓰고 몰래 활동하는 것입니다. 이 루트킷은 컴퓨터의 깊은 부분까지 침투해, 보안 프로그램이 자기 존재를 알아차리지 못하게 만듭니다.

 

스스로 길을 찾는 AI 기반 악성코드

Koske는 단순히 감염만 시키는 것이 아니라, 외부로 통신이 차단되었을 때도 스스로 통신 방법을 바꾸어 나가는 적응형 행동을 보입니다. 마치 문이 막히면 다른 문을 찾아내는 도둑처럼, DNS 설정을 바꾸고, 방화벽을 해제하고, 다양한 경로를 시도해 외부의 명령을 기다립니다.

 

이러한 행동은 단순한 코드로는 구현하기 어려운 고도의 설계이며, 보안 전문가들은 인공지능 언어 모델이 이 코드 작성에 관여했을 가능성을 제기하고 있습니다. 실제로 코드에는 구조적이고 체계적인 주석이 달려 있고, 다양한 언어가 혼용되어 있어 작성자를 특정하기도 어렵습니다.

 

목적은 ‘가상화폐 채굴’

감염된 컴퓨터는 Koske의 명령에 따라 본격적으로 ‘가상화폐 채굴기’로 활용됩니다. Koske는 컴퓨터의 성능을 자동으로 감지한 뒤, 최적화된 방식으로 채굴을 진행합니다. 마치 누가 어떤 컴퓨터를 가지고 있는지 알고 있는 듯, 상황에 맞는 도구를 꺼내 쓰는 방식입니다. 심지어 하나의 채굴장이 막히면 다른 채굴장으로 이동해 계속 작업을 이어갑니다.

이러한 정교한 악성코드는 단순한 장난이 아니라, 체계적인 이익을 노린 공격입니다.

 

블랙쏘세지로 안전하게 링크를 보세요

이번 공격은 직접적인 ‘링크 클릭’이 아닌 다른 경로로도 악성코드가 유입될 수 있음을 확인할 수 있었습니다. 하지만 링크를 이용한 공격 방식은 가장 흔하고 빠른 감염 통로입니다. 특히 스마트폰에서 URL을 클릭하는 순간, 우리가 무엇을 열고 있는지도 모르고 위협에 노출되는 경우가 많습니다.

 

블랙쏘세지는 이러한 위험을 줄이기 위해 원격 브라우저 격리 기술을 적용한 서비스입니다. 사용자가 스마트폰에서 받은 링크를 직접 열지 않고, 안전한 원격 브라우저에서 대신 열어주는 방식으로 동작합니다. 즉, 위험한 링크라도 내 기기에는 아무것도 남기지 않고 볼 수 있게 도와줍니다.

 
저작자표시 비영리 변경금지 (새창열림)

'보안 > ' 카테고리의 다른 글

이미지처럼 보이지만, 함정일 수 있습니다  (4) 2025.08.05
청첩장으로 가장한 악마의 초대장  (4) 2025.07.31
SK텔레콤 유심 해킹, 내 정보도 유출됐을까? 지금 확인할 수 있습니다  (2) 2025.07.29
‘민생회복 소비쿠폰’ 스미싱 조심하세요  (0) 2025.07.23
여름 휴가철, 피싱 공격 주의하세요  (2) 2025.07.21

관련글

티스토리툴바