GitHub 유틸리티 위장 악성코드 유포 – SEO 중독 공격과 PC 보안 수칙

공격 방식: SEO 중독으로 검색 상단에 올라온 악성 파일

SEO 중독(SEO Poisoning) 공격이란?

SEO 중독은 공격자가 악성 콘텐츠를 담은 페이지나 저장소를 검색 엔진 최상단에 노출되도록 조작하는 기법입니다. 일반 사용자나 개발자가 “WinDbg 다운로드”, “Postman 설치” 같은 키워드로 검색할 때 공식 사이트가 아닌 악성 GitHub 저장소가 상위에 뜨도록 만듭니다.

이번에 확인된 공격은 다음과 같은 방식으로 진행됩니다:

• 공격자가 GitHub에 실제처럼 보이는 저장소 생성
• README, 설명, 태그 등을 실제 도구와 유사하게 작성해 검색 노출 최적화
• 구글·빙 검색에서 공식 다운로드 링크처럼 보이게 상단 노출
• 이용자가 클릭 시 악성 MSI 파일 다운로드 유도

위장 대상 도구 목록

이번에 확인된 위장 대상 도구는 개발자와 IT 관리자가 실무에서 자주 사용하는 소프트웨어들입니다:

• WinDbg – Windows 디버깅 도구
• PsExec – 원격 프로세스 실행 도구
• Postman – API 개발·테스트 도구
• USMT(User State Migration Tool) – Windows 사용자 데이터 마이그레이션 도구

이들 도구는 개발자, 시스템 관리자, IT 엔지니어 등 기술 직군에서 일상적으로 검색하고 다운로드하는 소프트웨어입니다. 공격자는 이 점을 노려 기술 직군을 표적으로 삼은 것으로 분석됩니다.

KISA 보호나라 원문 공지 확인 →

악성 감염 징후 – 내 PC가 감염됐는지 확인하는 방법

확인해야 할 3가지 감염 징후

KISA가 발표한 감염 징후는 다음과 같습니다. 아래 항목에 해당된다면 즉시 악성코드 검사가 필요합니다.

1. %LOCALAPPDATA% 하위 랜덤 6자 디렉토리 생성

Windows 탐색기에서 %LOCALAPPDATA% 경로(예: C:\Users\사용자명\AppData\Local)로 이동했을 때, 6자리 알파벳·숫자 조합으로 이루어진 의심스러운 폴더가 생성되어 있는지 확인하세요. 예: aB3xZ9, mK7tRq 같은 형태의 폴더가 갑자기 생겨났다면 감염을 의심해야 합니다.

2. node.exe 비정상 실행

작업 관리자(Ctrl+Shift+Esc)에서 node.exe 프로세스가 실행 중인데, Node.js를 별도로 설치하거나 관련 프로그램을 사용하고 있지 않다면 악성코드 실행으로 볼 수 있습니다.

3. 이더리움 RPC 엔드포인트로 네트워크 통신

악성코드가 이더리움 블록체인 네트워크에 접속해 명령어를 수신하거나 데이터를 전송하는 징후입니다. 일반 사용자라면 이더리움 관련 네트워크 통신이 발생할 이유가 없습니다.

감염 의심 시 즉각 조치 사항

1. 인터넷 연결 즉시 차단 (네트워크 케이블 분리 또는 Wi-Fi 비활성화)
2. 최신 백신 프로그램으로 전체 검사 실행
3. 의심 디렉토리 및 파일 격리·삭제
4. KISA 보호나라 또는 118 신고센터에 신고

KISA 118 사이버 침해 신고 →

예방 수칙: 소프트웨어 다운로드 전 반드시 확인할 것

공식 사이트 URL 직접 확인이 핵심

SEO 중독 공격의 핵심은 “검색 결과를 신뢰하는 심리”를 이용한다는 것입니다. 아무리 검색 상단에 노출되어 있어도 공식 사이트가 아닐 수 있습니다.

소프트웨어 다운로드 시 필수 확인 사항:

• 북마크 활용: 자주 사용하는 공식 다운로드 사이트는 브라우저 북마크에 저장해두고 직접 접속
• URL 주소 확인: 다운로드 전 주소창의 URL이 공식 도메인과 일치하는지 반드시 검증
• GitHub 저장소 검증: GitHub에서 다운로드 시 공식 조직/계정 여부, 별표(star) 수, 커밋 이력 확인
• HTTPS 확인: 공식 사이트는 HTTPS를 사용하지만, 이것만으로 안전을 보장할 수 없음
• 파일 해시 검증: 공식 사이트에서 제공하는 MD5/SHA256 해시값과 다운로드 파일 비교

개발자·IT 관리자를 위한 추가 보안 수칙

• 소프트웨어 설치 시 관리자 권한(Administrator) 요청 여부 의심
• MSI 파일 설치 전 VirusTotal(virustotal.com)에서 사전 검사
• 회사 환경에서는 승인된 소프트웨어 목록(Allowlist) 정책 적용
• 네트워크 모니터링 솔루션으로 비정상 이더리움 RPC 통신 탐지
• KISA 보호나라 헌팅 가이드 보고서 참고하여 IOC(침해 지표) 확인

왜 개발자와 IT 직군이 더 위험한가?

일반 사용자와 달리 개발자·IT 관리자는 시스템 권한을 가지고 다양한 도구를 설치하는 것이 일상적입니다. 공격자들은 이 점을 정확히 파악하고 기술 직군을 타겟으로 삼습니다.

• 높은 권한: 관리자 권한으로 설치하는 경우가 많아 악성코드 영향 범위 확대
• 반복적 도구 설치 습관: 새로운 도구를 자주 검색·설치하는 패턴
• 네트워크 접근 권한: 회사 내부 시스템, 데이터베이스, API 키에 접근 가능
• 신뢰 기반 환경: 동료·팀에게 악성코드가 확산될 가능성

특히 이번 사례처럼 GitHub를 악용한 공격은 개발자 커뮤니티에서 GitHub를 신뢰하는 심리를 역이용한 것으로, 기술 직군의 경각심이 더욱 필요합니다.

KISA 보호나라 헌팅 가이드 보고서 다운로드 →

자주 묻는 질문 (FAQ)

Q. GitHub에 올라온 파일이면 안전하지 않나요?

A. GitHub는 누구나 저장소를 만들고 파일을 올릴 수 있는 플랫폼입니다. 공식 조직 계정이 아닌 개인 계정이나 무명 저장소에서의 다운로드는 항상 주의가 필요합니다.

Q. MSI 파일만 위험한가요?

A. MSI 외에도 EXE, BAT, PS1(PowerShell), ZIP 내 실행 파일 등 다양한 형태로 배포될 수 있습니다. 출처가 불분명한 모든 실행 파일은 주의하세요.

Q. 이미 설치했다면 어떻게 해야 하나요?

A. 즉시 인터넷을 차단하고 백신 검사를 실행하세요. 이후 KISA 118 신고센터(국번 없이 118)에 신고하면 전문 상담을 받을 수 있습니다.

Q. 스마트폰도 위험한가요?

A. 이번 공격은 주로 Windows PC를 대상으로 하지만, 스마트폰도 공식 앱스토어 외 출처의 APK 설치 등 유사한 방식의 공격에 노출될 수 있습니다. 출처 불명의 앱 설치를 삼가세요.

이 글이 마음에 드세요?

RSS 피드를 구독하세요!