챗GPT 공유 링크가 악성코드 배달부로? LLMShare 캠페인의 충격적 실체

이 캠페인의 진짜 혁신은 악성코드 자체가 아니라 전달 방식에 있다. 최초 피싱 페이지가 chatgpt.com이라는 합법적인 URL에 호스팅되기 때문에, 사람의 의심은 물론이고 URL 평판(reputation) 기반의 자동화된 보안 필터까지 우회할 수 있다. 사용자가 주소창을 확인하면 chatgpt.com이라는 익숙한 도메인과 자물쇠 아이콘만 보일 뿐이다. 이러한 '프록시 신뢰(Trust-by-Proxy)' 효과는 이후 공격자의 악성 도메인으로 리디렉션될 때 사용자의 경계심을 크게 떨어뜨린다 .

LLMShare는 빙산의 일각에 불과하다

LLMShare 캠페인은 갑자기 등장한 고립된 사건이 아니다. 이는 보안 연구원들이 2025년 말부터 추적해온 악성 패턴의 최신 버전에 해당한다. 당시 공격자들은 AI 플랫폼의 공유 기능을 감염 벡터로 악용할 수 있다는 사실을 처음 발견했다.

2025년 12월, 카스퍼스키(Kaspersky) 연구원들은 챗GPT의 공유 기능을 이용해 맥OS 사용자에게 AMOS 인포스틸러를 유포하는 캠페인을 발견했다. 공격자들은 가짜 '아틀라스 브라우저(Atlas browser)'에 대한 그럴듯한 설치 가이드를 만들어 챗GPT 공개 대화로 게시했다. 이 가이드를 따라 터미널 명령어를 실행한 순진한 사용자들은 결국 악성코드에 감염됐다 . 2026년 초에는 이와 유사한 수법이 '딥시크(DeepSeek)'와 같은 다른 AI 플랫폼으로 확산됐으며, 공격자들은 '맥 디스크 공간 정리 방법'과 같은 일상적인 문제 해결을 검색하는 사용자들을 표적으로 삼기 시작했다 .

이러한 트렌드는 공유 채팅 악용을 훨씬 뛰어넘는다. 2025년 7월부터 2026년 2월 사이, 보안 연구원들은 상업용 AI 챗봇 인프라를 주요 명령 및 제어(C2) 채널로 사용하는 최초의 실제 악성코드 사례를 기록했다 . 또한, 챗GPT 생산성 도구로 위장한 최소 16개의 악성 크롬 확장 프로그램이 사용자의 로그인 토큰을 훔치는 현장이 적발되기도 했다 . 구글의 위협 인텔리전스 그룹(GTIG)은 실행 중에 동적으로 행동을 변화시키는 PROMPTFLUX 및 PROMPTSTEAL과 같은 악성코드를 확인하며, 이를 ‘적시(Just-in-Time) AI 악성코드’라고 명명했다 .

심지어 국가 연계 그룹까지 가세했다. 오픈AI는 러시아, 북한, 중국의 조직들이 악성코드 개발, 피싱 캠페인, 여론 조작을 위해 챗GPT 사용을 시도한 정황을 포착하고 이를 무력화했다고 밝혔다 . 크라우드스트라이크(CrowdStrike)의 2025 위협 헌팅 보고서 또한 공격자들이 이제 공격을 가속화하고 자격 증명을 탈취하기 위해 ‘AI를 대규모로 무기화’하고 있다고 경고했다 .

배후에 숨은 악성코드와 진화 계보

LLMShare 캠페인에 걸려든 윈도우 사용자는 브라우저 기반 비밀번호와 쿠키를 수집하는 전형적인 크리덴셜 스틸러를 받게 된다. 맥OS 사용자에게 전달되는 위협은 이보다 훨씬 복잡한 진화의 산물이다.

오디세이 스틸러는 맥OS 정보 탈취 악성코드의 한 갈래로, 복잡한 계보를 지니고 있다. 이 악성코드는 2024년과 2025년 초반에 기승을 부렸던 포세이돈 스틸러(Poseidon Stealer)에서 시작된다. 포세이돈은 아토믹 스틸러의 포크(Fork) 버전이었으며, 이후 '로드리고(Rodrigo)' 또는 'Rodrigo4'라는 가명의 위협 행위자에 의해 오디세이로 리브랜딩되고 업그레이드됐다. 이 행위자는 과거 AMOS 코드베이스 개발에도 관여한 인물이다 . 이 리브랜딩 과정에는 애플의 보안 방어 체계를 우회하기 위한 난독화된 애플스크립트(AppleScript) 페이로드와 시스템 재부팅 후에도 살아남는 지속성 메커니즘 등 상당한 기술적 업그레이드가 동반됐다 .

오디세이 스틸러는 서비스형 악성코드로서 제휴(Affiliate) 모델로 운영된다. 핵심 개발자들이 악성코드와 C2 인프라를 유지 관리하면, 독립적인 운영자(제휴자)들이 수익금의 일부를 대가로 접근 권한을 임대하는 방식이다 . 이 악성코드는 광범위한 암호화폐 소프트웨어를 표적으로 삼는데, 센시스(Censys) 연구진은 오디세이 스틸러가 데스크톱 암호화폐 애플리케이션은 물론, 무려 203개의 브라우저 지갑 확장 프로그램을 노린다는 사실을 확인했다 .

레드 카나리(Red Canary)의 위협 탐지 데이터에 따르면, 아토믹 스틸러는 2025년 내내 가장 인기 있는 맥OS 스틸러로 군림했으며, 포세이돈의 리브랜딩 이후 오디세이 스틸러도 이와 유사한 확산세를 기록했다 . 두 악성코드 계열은 애플 사용자를 노리는 최상위 위협으로 꾸준히 거론되고 있다 .

방어가 이토록 어려운 이유

LLMShare의 핵심인 '프록시 신뢰' 방식은 전통적인 보안 방어 체계에 근본적인 도전을 제기한다. 최초 접속 페이지가 오픈AI의 도메인에 호스팅되기 때문에, 도메인 평판만으로 URL을 필터링하는 보안 도구들은 chatgpt.com을 문제없이 통과시킨다. 더 정교하게 페이지 콘텐츠를 검사하는 도구라 할지라도, 오픈AI 브랜드의 서비스 공지로 보이는 화면을 의심스러운 것으로 판단하기는 어렵다 .

이 공격은 이메일 피싱, 악성 첨부파일, 노골적인 사회공학적 기법을 전혀 사용하지 않는다. 오로지 구글의 광고 플랫폼을 통해 피해자를 오픈AI 공식 페이지처럼 보이는 곳으로 안내하는 데 의존한다. 악성 리디렉션이 발생하는 시점에는 이미 사용자가 방문 중인 도메인에 대한 신뢰가 확고하게 형성된 상태다. 유사한 캠페인을 연구한 헌트레스(Huntress) 연구원들은 이러한 공격이 '검색, 클릭, 복사, 붙여넣기'라는 네 가지 일상적인 행동만으로도 성공한다고 지적했다 .

보안 팀에게 필요한 것은 다계층 방어 전략이다. 유명 서비스를 사칭하는 의심스러운 구글 광고를 모니터링하고, openew[.]app과 같이 알려진 악성 리디렉션 도메인을 차단하는 것은 기본이다. 그리고 가장 중요한 것은, 사용자들이 chatgpt.com 도메인 자체만 신뢰할 것이 아니라 공유된 챗GPT 대화의 실제 콘텐츠를 반드시 검증하도록 교육하는 것이다 . 플랫폼 제공사들 역시 합법적인 사용 사례를 방해하지 않으면서 공유 기능의 악용을 막을 수 있는 가드레일(Guardrail)을 도입해야 한다는 압박에 직면해 있다 .

LLMShare 캠페인은 피싱 전술의 변곡점을 보여준다. 사용자가 주요 AI 플랫폼에 부여하는 신뢰를 무기화함으로써, 공격자들은 전통적인 피싱 이메일보다 효과적이면서 기존 방어 체계로 탐지하기 어려운 전달 메커니즘을 찾아냈다. AI 플랫폼이 확장되고 공유 기능이 더욱 정교해질수록, 이 공격 표면은 계속해서 넓어질 것이다.