[지디넷코리아]
최근 불법 토렌트 사이트를 통해 유포되는 영화 자막 파일에서 사용자 시스템을 장악하고 정보를 탈취하는 악성코드가 발견돼 이용자들의 각별한 주의가 요구된다.
15일 기가진 외신에 따르면, 보안 전문 기업 비트디펜더는 레오나르도 디카프리오 주연의 영화 ‘원 배틀 애프터 어나더(One Battle After Another)’를 사칭한 토렌트 파일에서 악성코드 검출 사례를 다수 발견했다. 해당 영화는 2025년 하반기 개봉작으로 홍보되고 있으며, 최신 개봉작을 무료로 관람하려는 사용자들의 심리를 교묘히 악용한 것으로 보인다.
이번 공격의 핵심은 육안으로는 식별하기 어려운 ‘스텔스’ 전략에 있다. 문제의 토렌트 패키지에는 영화 본편으로 위장한 동영상 파일 외에도 이미지, 자막(.srt), 그리고 실행을 유도하는 바로가기(.lnk) 파일 등이 포함돼 있다.
사용자가 무심코 바로가기 파일을 실행하면, 윈도우 기본 도구인 ‘cmd.exe’와 ‘파워셸’을 통해 자막 파일 내부에 은닉된 악성 스크립트가 구동된다. 특히 공격자들은 정상적인 자막 내용 사이에 암호화된 코드를 삽입해 보안 솔루션의 탐지를 피했다.
감염 과정은 치밀하게 설계된 ‘다단계(Layered)’ 방식을 따른다. 첫 번째 스크립트가 실행되면 암호화된 코드를 복호화한 뒤, ‘Realtek Driver Install.ps1’이라는 가짜 드라이버 설치 파일을 생성한다.
해당 스크립트는 시스템 내 윈도우 디펜더(Windows Defender)의 활성화 여부를 확인하고, 정상적인 오디오 서비스인 것처럼 위장해 시스템에 상주하기 위한 작업을 수행한다. 모든 준비가 끝나면 최종 단계로 정보 탈취형 트로이목마인 ‘에이전트 테슬라(Agent Tesla)’를 메모리에 로드한다.
에이전트 테슬라는 전형적인 ‘파일리스(Fileless)’ 악성코드로, 하드디스크가 아닌 메모리상에서 동작하며 사용자의 금융 정보, 개인 계정, 웹 브라우저 저장 비밀번호 등을 탈취해 공격자의 C&C(명령 및 제어) 서버로 전송한다.
비트디펜더는 이번 공격에 이미 수천 명 이상의 사용자가 노출된 것으로 파악하고 있다. 이 회사 관계자는 “신작 영화를 미끼로 한 고전적인 수법이지만, 이번 사례는 감염 체인이 비정상적으로 복잡하고 은닉성이 매우 높다”고 경고했다.