핵심 요약
2026년 4월 25일, 한 레딧 사용자의 제보를 통해 Ankergames에서 배포된 불법 복제판 ‘어메이징 스파이더맨 2’ 설치 파일에 데이터 탈취 목적의 악성코드가 포함된 사실이 확인됐다. 해당 악성코드는 실행 시 시스템 임시 폴더에서 본체와 함께 동작하며 세션 파일과 비밀번호 등 인증 정보를 수집해 공격자 서버로 전송했다. 이로 인해 피해자의 Google 계정이 탈취되어 이중 인증이 우회되고, 계정이 자동으로 피싱 이메일을 발송하는 등 2차 피해가 발생했다. 피해자는 활성 세션 종료, 비밀번호 재설정, 의심 실행 파일 제거 및 정밀 검사 후 운영체제 재설치를 권고받았다.
핵심 사실
- 발견일: 2026년 4월 25일, 레딧 사용자 제보로 알려짐.
- 감염 경로: Ankergames 사이트에서 다운로드한 불법 복제판 ‘어메이징 스파이더맨 2’ 실행 파일에 악성코드가 숨겨져 있음.
- 작동 방식: 악성코드는 시스템 드라이브의 임시 폴더에서 메인 애플리케이션과 함께 실행되며 세션 파일·비밀번호·인증정보를 수집함.
- 유출 결과: 수집된 데이터는 공격자 서버로 전송되었고, 피해자의 Google 계정이 탈취되어 자동 피싱 이메일 발송에 악용됨.
- 이중 인증(2FA): 탈취된 세션 파일을 사용해 2단계 인증이 우회된 것으로 보고됨.
- 탐지 상황: 내장 보안 소프트웨어가 악성 행위를 탐지하기 전에 정보가 수집·전송된 정황이 있음.
- 추가 악성코드: 정밀 검사에서 비밀번호 탈취 프로그램을 포함해 20개 이상의 악성 프로그램이 발견됨.
- 대응 권고: 모든 활성 세션 종료·비밀번호 교체·시작프로그램 의심 파일 제거·운영체제 재설치 권고.
사건 배경
불법 복제 게임 유통은 오래전부터 악성코드 유입의 주요 경로 중 하나로 지목돼 왔다. 정식 배포 경로를 우회한 설치 파일은 사용자 검증과 업데이트가 누락되기 쉬워 악성코드를 심어두기에 상대적으로 안전지대가 된다. 특히 유명 IP의 게임은 수요가 많아 불법 복제본 유통이 활발하고, 사용자들은 비용·접근성 때문에 위험을 감수하는 경우가 잦다. 보안 업계 관계자들은 게임 크랙 및 토렌트 배포본에서 키로거·정보탈취형 트로이 목마가 반복적으로 발견돼 왔다고 지적한다.
최근 수년간 클라우드 서비스·웹 메일의 보급으로 계정 탈취의 파급력은 커졌다. 세션 파일이나 쿠키 등을 탈취하면 문자 기반의 알림이 오지 않는 경우가 있어 사용자가 인지하기 어렵다. 또한, 2단계 인증을 설정했다고 해도 세션 재사용·재시작 방식으로 우회가 가능한 사례가 보고되며 보안 관점의 허점이 드러나고 있다. 이번 사건은 디지털 콘텐츠 소비 방식과 계정 보안 체계 간의 연계된 취약성을 다시 한 번 드러냈다.
주요 사건
사고는 한 레딧 사용자가 Ankergames에서 내려받은 불법 복제본을 설치한 뒤 이상 징후를 느껴 제보하면서 외부에 알려졌다. 사용자는 실행 후 프로세스 관리자에서 의심스러운 프로세스를 확인했고, 곧이어 계정에서 자동으로 피싱성 이메일이 발송되는 것을 목격했다. 초기 조사에서 악성코드가 임시 폴더에서 본체와 함께 실행되며 세션·인증 파일을 우선 수집한 뒤 원격 서버로 전송한 정황이 확인됐다.
피해자는 즉시 모든 활성 세션을 종료하고 비밀번호를 재설정했으며, 시작 프로그램에서 의심스러운 실행 파일을 삭제했다. 이후 특수 보안 도구로 정밀 검사를 진행한 결과 비밀번호 탈취형 모듈을 포함해 20개 이상의 악성코드가 감지되었다. 일부 악성코드는 자가 실행 및 재설치 기능을 갖추고 있어 단순 파일 삭제로는 완전 제거가 어렵다고 보고되었다.
감염으로 인해 Google 계정에서 타인의 기기에서의 무단 로그인 탐지, 비정상적인 발송 로그 등이 확인되었고 피해자는 2차 피해 차단을 위해 관련 수신자에게 경고 및 사과를 진행한 것으로 알려졌다. 보안 권고에 따라 최종적으로 운영체제 재설치를 권장받았고, 이는 잔존 악성코드 삭제를 위한 가장 확실한 방법으로 제시되었다.
분석 및 의미
이번 사건은 불법 소프트웨어 유통이 단순한 저작권 문제를 넘어 개인·기업의 계정 보안에 직접적인 위협을 준다는 점을 보여준다. 공격자는 소프트웨어 실행 시점에 사용자 권한·임시 파일 접근 권한을 이용해 인증 정보를 수집하고, 이를 바탕으로 계정 권한을 획득한다. 특히 세션 파일을 이용한 2FA 우회는 기존의 인증 보완책이 완전한 해결책이 아님을 시사한다.
피해 규모는 계정 소유자의 사용 행태에 따라 크게 달라진다. 한 계정으로 여러 서비스에 로그인해 둔 경우 탈취된 세션이 연쇄적으로 악용될 위험이 크며, 기업용 계정이나 결제 수단 연동 계정이 연계돼 있을 때 경제적 피해가 확대될 수 있다. 따라서 개인 사용자뿐 아니라 조직 차원의 계정 관리 정책 강화가 필요하다.
기술적 관점에서 보면 내장 보안 솔루션만으로는 이러한 유형의 침해를 사전 차단하기 어렵다. 악성 행위는 정상 실행 파일과 동시 실행되거나 정상 프로세스를 가장해 동작하는 경우가 많아 행동 기반 탐지·응답(EDR)과 신속한 로그 기반 분석이 중요하다. 또한, 소프트웨어 공급망과 사용자 다운로드 경로의 신뢰성 확보가 장기적 해결책 중 하나다.
비교 및 데이터
| 항목 | 이번 사건(확인) |
|---|---|
| 악성 프로그램 수 | 20개 이상 |
| 주 감염 경로 | Ankergames 불법 복제판 설치 파일 |
| 주요 탈취 대상 | 세션 파일, 비밀번호, 사용자 인증 정보 |
위 표는 현재까지 확인된 핵심 수치·항목을 정리한 것이다. 정밀 검사 결과 ’20개 이상’ 악성 프로그램이 발견된 점은 단일 감염 후 다중 악성 모듈이 설치된 전형적인 사례와 부합한다. 이번 사례는 단일 파일로 인한 복합 감염 가능성과 그로 인한 계정 악용 양상을 수치로 보여준다.
반응 및 인용
사건 초기 제보자는 설치 후 관찰된 행동과 계정 이상 징후를 기반으로 문제를 알렸고, 이 제보가 뒤이어 조사로 이어졌다.
“게임을 실행한 직후에 계정에서 자동으로 메일이 나가는 것을 봤다.”
레딧 사용자(제보자)
보안업계의 한 관계자는 이번 유형의 공격이 복제 소프트웨어 유통 망을 통해 반복적으로 발생한다고 설명했다.
“크랙된 설치 파일은 검증되지 않은 코드가 섞일 위험이 크며, 세션 탈취는 특히 탐지가 늦어 심각한 피해를 낳는다.”
보안업체 연구원(익명)
피해자는 피해 확산을 막기 위해 즉시 대응 조치를 취했고, 이후 정밀 검사를 통해 다수의 악성코드 존재를 확인했다고 전했다.
“모든 활성 세션을 끊고 비밀번호를 바꾼 뒤에도 추가 악성코드가 발견돼 결국 OS 재설치를 진행했다.”
피해자(익명)
불확실한 부분
- Ankergames의 공식 배포 채널 자체가 침해되었는지, 아니면 불법 복제본을 유통한 제3자가 변조했는지는 확인되지 않았다.
- 공격자의 신원과 원격 서버의 운영 주체는 공개적으로 확인되지 않았다.
- 이번에 유통된 불법 복제본 외 동일한 배포본이 다른 사이트·토렌트에 얼마나 확산되었는지는 불확실하다.
총평
이번 사건은 불법 복제 소프트웨어 설치가 단순한 불법행위를 넘어 심각한 개인정보·계정 보안 위협을 초래할 수 있음을 분명히 보여준다. 세션 파일·인증정보 탈취는 기존의 보안 관행만으로 완전히 방어하기 어려운 특성이 있어 사용자의 주의와 조직의 보안 정책 강화가 동시에 필요하다. 개인 사용자는 불법 소프트웨어 다운로드를 피하고, 의심스러운 활동을 발견하면 즉시 세션 종료와 비밀번호 변경을 수행해야 한다.
기업·서비스 제공자는 계정 이상징후를 빠르게 탐지할 수 있는 로그 분석 체계와 비정상 로그인 시 추가 확인 절차를 마련해야 한다. 또한, 공급망·배포 경로의 신뢰성 확보와 사용자 교육을 통해 장기적으로 유사 사건의 재발을 줄이는 노력이 필요하다. 이번 사례는 사용자 행위와 기술적 방어체계가 함께 작동할 때만 실질적 보안성이 확보된다는 점을 상기시킨다.
출처
- GameGPU (언론 보도, 2026년 4월 25일)