아시아태평양 불법 스트리밍 앱 49%, 악성코드에 감염... 사용자 수백만 명 위기

이는 단순한 추측이 아니다. 2025년 5월 대만에서 진행된 연구에서는 불법 스트리밍 기기(ISD) 관련 앱의 49%가 악성코드에 감염됐으며, 기기당 평균 7.75개의 보안 취약점이 발견됐다 . 당시 발견된 위협이 일시적 현상이 아니라, 아태지역 불법 스트리밍 생태계 전체에 걸친 시스템적 문제임을 이번 보고서가 재확인한 것이다.

공짜 영화 한 편 보려다 통장이 털린다: 구체적인 위협들

보고서는 앱 속 악성코드 외에도 불법 스트리밍 생태계를 이용할 때 마주치는 광범위한 위협을 구체적으로 제시한다 .

선입금 사기 및 서비스 먹튀가 가장 흔하다. 소비자가 SNS나 메신저, 온라인 장터에서 IPTV 구독권이나 재생목록, 계정 공유 서비스를 구매하면, 대금만 받고 서비스는 제공되지 않거나 곧 중단된다. 돈을 잃는 것은 물론, 결제 과정에서 제공한 개인정보와 카드 정보는 범죄자 손에 넘어간다 .

피싱 공격, 계정 탈취, 신원 도용도 만연하다. 많은 불법 스트리밍 플랫폼은 애초에 사용자 계정 정보와 개인정보를 빼내기 위해 설계된다. 탈취된 정보는 추가 사기나 다크웹 거래에 활용된다 .

계정 탈취 및 2차 금융 손실도 심각하다. 공유되거나 판매되는 스트리밍 계정은 주로 합법적인 사용자에게서 도난당한 것들이다. 당신이 산 '저렴한 넷플릭스 계정'은 누군가의 도난 계정일 가능성이 높으며, 원래 주인에게 금전적 손실과 개인정보 유출 피해가 전가된다 .

악성 광고 리디렉트 및 드라이브 바이 다운로드 역시 끊임없는 위협이다. 불법 스트리밍 사이트는 공격적인 광고로 도배되어 있으며, 클릭하는 순간 악성코드 다운로드나 피싱 사이트로 유도된다 .

나아가 AVIA의 분기별 리포트에 따르면, 불법 스트리밍 셋톱박스 자체가 이를 공급한 범죄 조직에 의해 원격 장악될 수 있다. 장악된 기기는 신원 도용, 랜섬웨어 배포에 쓰이거나 대규모 봇넷으로 조직되어 국가 기반 시설을 위협하는 사이버 공격에 동원될 수 있다 .

충격의 연속이었던 2025년 연구 결과를 잇다

이번 2026년 6월 보고서는 갑자기 나온 것이 아니다. 모두 폴 워터스 교수가 저자로 참여한 2025년의 두 주요 연구를 바탕으로 한다 .

**대만 연구(2025년 5월)**는 획기적이었다. 대만 내 ISD 관련 앱의 49%가 악성코드를 포함하고 있었고, 기기들은 평균 7.75개의 보안 취약점을 갖고 있었다. 특히 이 기기들이 국가 핵심 기반 시설을 위협할 수 있는 봇넷으로 변모할 수 있음을 증명했다 .

**동남아시아 연구(2025년 7월)**는 세계적 불법 복제 방지 연합인 ACE(Alliance for Creativity and Entertainment)의 의뢰로 진행됐다. 동남아 5개국 소비자가 합법 플랫폼 대비 불법 사이트를 이용할 때 최대 65배나 악성코드에 감염될 위험이 높다는 결론을 내렸다 . 이 65배 위험 지수는 큰 파장을 일으키며, 가볍게 불법 사이트를 방문하는 것만으로도 얼마나 위험한지를 보여준 핵심 지표가 됐다.

이번 신규 APAC 전역 보고서는 대만과 동남아시아를 넘어 아태지역 전체로 지리적 범위를 넓히고, 기기와 웹사이트뿐 아니라 IPTV·재생목록·계정 공유 등 훨씬 넓은 불법 경로를 분석했다. 사이버 위험이 불법 스트리밍 경제의 모든 구석에 체계적으로 스며들어 있음이 최종 확인된 셈이다 .

불법 스트리밍의 '핀셋 단속'을 위한 요구 사항들

불법 복제 생태계가 정교한 사이버 범죄와 결탁한 현실에 맞서, 안티피라시연합(CAP)은 다각도의 이해관계자 공동 대응을 촉구하고 있다. 이번 보고서는 단순 위험 평가가 아니라, 각 산업군과 정부 기관을 향한 구체적인 행동 촉구다 .

전자상거래 및 SNS 내 불법 판매자 강력 단속이 최우선 과제다. 현재 아마존·쇼피·라자다 같은 전자상거래 플랫폼, 페이스북·인스타그램 같은 소셜미디어, 텔레그램·라인 같은 메신저가 불법 IPTV 구독권, 해적판 셋톱박스, 도난 계정의 주된 판매처로 악용되고 있다. CAP는 플랫폼들이 적극적으로 게시물을 삭제하고 상습 판매자를 영구 차단해야 한다고 주장한다 .

더 광범위한 인프라 사업자의 협력도 필수적이다. CAP는 전자상거래 기업, 결제 대행사(PG), 은행, 소셜미디어 회사가 나서서 불법 복제 조직으로 흘러가는 자금줄과 노출 경로를 원천 차단해야 한다고 요구한다 .

소비자 경각심 캠페인 확대도 시급하다. 대중은 여전히 불법 스트리밍을 '저작권법 위반 정도의 가벼운 일탈'로 여기지만, 실상은 악성코드와 신원 도용, 금융 사기로 바로 연결되는 위험한 행위다. 이 보고서는 각국 정부와 소비자 보호 기관이 공익 캠페인을 벌일 근거 자료로 쓰일 전망이다 .

콘텐츠 업계, 정부, 사이버보안 주체 간 긴밀한 협력이 불법 복제와 조직적 사이버 범죄의 결탁을 해결할 열쇠다 .

호스팅·DNS·CDN 같은 인프라 사업자 역시 불법 운영의 기반을 제공하는 악성 서버와 서비스를 차단하는 데 동참해야 한다 .

발리에서 전달된 핵심 메시지는 분명하다. 불법 스트리밍 앱 하나 깔고, 싼 IPTV 구독 한 번 한 것이 단순한 저작권 위반이 아니라, 통장을 비우고, 신원을 훔치고, 여러분의 기기를 사이버 범죄 병기로 바꾸는 직접적 보안 위협이라는 점이다.