사진과 파일이 공유되는 순간, 당신의 개인정보는 이미 해킹이 시작됐다
최근 북한 해커 조직으로 알려진 APT37이 악성 바로가기(.lnk) 파일과 스테가노그래피(Steganography, 정보 은닉 기술)를 이용한 공격을 시도한 정황이 포착됐다. 이 수법은 압축 파일에 악성 코드를 숨기거나 JPEG 이미지 내부에 악성 요소를 삽입하는 등 다양하고 정교하게 진화하고 있다.
스테가노그래피, ‘보이는 이미지 속의 공격’
스테가노그래피란 무엇인가
스테가노그래피는 본래 보안 연구나 디지털 저작권 보호(DRM) 목적에도 쓰이지만, 공격자의 손에 들어가면 강력한 위협 도구가 된다.
단순한 사진 파일 안에 피해자의 영상, 개인정보, 또는 추가 공격용 명령 코드를 숨길 수 있기 때문이다.
몸캠피싱·딥페이크 조직은 이 기술을 다음과 같이 악용한다.
피해자의 노출 영상(또는 합성 영상)파일을 전송하면서
그 안에 C2(Command & Control) 명령, 악성 링크, 혹은 디바이스 감염용 스크립트를 숨겨둔다.
피해자가 이를 다운로드하거나 공유하는 순간, 악성 명령 코드가 해제되어 기기 내부 접근이 가능해진다.결과적으로 피해자는 단순 협박을 넘어서, 계정·클라우드·연락처 전체가 해킹당하는 2차 피해로 이어진다.
실제 사례로 보는 사진 파일 해킹 수법
KISA(한국인터넷진흥원)는 2024년 이후 ‘스테가노그래피 기법을 이용한 피싱 및 협박형 악성코드 유포 사례’를 다수 포착했다고 밝힌 바 있다.
최근에는 피싱 메일과 연계된 형태로, 악성 URl 혹은 첨부파일을 통한 은닉 코드 유포 사례가 증가했다고 밝히기도 했다.
특히 동남아 거점의 몸캠피싱 조직은 피해자 기기 내 저장된 사진을 탈취한 뒤,
그 사진 속에 추가 서버 접속 코드를 삽입해, ‘삭제해도 복구·재전송되는’ 구조를 만든 사례가 확인됐다.
이는 단순 협박이 아니라 은닉 및 감시형 공격에 가깝다.
즉, 피해자의 단말이 일회성 감염이 아닌,
지속적으로 가해자에게 정보가 빠져나가는 C2 네트워크 소스가 되는 것이다.
몸캠피싱 및 딥페이크 가해자들의 전형적인 수법
디지털 범죄의 흐름은 늘 기술의 발전을 따라간다.
과거에는 단순한 영상통화 녹화나 악성 앱 설치가 몸캠피싱의 주요 수법이었다면,
이제는 인공지능(AI)과 딥러닝 기술의 발전으로 “딥페이크 협박”이 일상적인 수법으로 자리 잡았다. 피해자는 실제로 촬영되지 않았음에도 불구하고, ‘존재하지 않는 영상’으로 협박을 당하는 현실이 되었다.
1. 접근: 감정적 신뢰 형성
가해자들은 대부분 SNS, 데이팅앱(틴더, 헬로톡, 아자르 등), 랜덤채팅앱(썸톡, 미트톡 등)을 통해 접근한다. 그들은 매력적인 프로필 사진을 활용해 “친근함” 또는 “이성적 호감”을 유도한다.
초기 대화에서는 피해자의 경계를 허물기 위해 일상 대화를 이어가며, 점차 사적인 주제나 감정 교류로 확장한다. 이 과정에서 피해자의 말투, 직업, 가족관계, SNS 사용패턴 등을 파악해 이후 협박의 ‘심리적 약점’을 설계한다.
2. 유도: 외부 플랫폼으로 이동
가해자들은 일정 시간이 지나면 “카메라 품질이 더 좋은 곳에서 얘기하자”거나
“영상으로 얼굴 보고 얘기하자”는 식으로 카카오톡·라인·텔레그램·왓츠앱·스카이프·디스코드 등 외부 메신저로 유도한다.
이때 가장 자주 쓰이는 수법은 다음과 같다.
악성 APK 전송: “노출 사진을 보내줄게”, “요가 영상이야” 등의 말과 함께 URL을 보내 클릭 시 악성 APK(안드로이드용 앱) 설치를 유도한다.
화상통화 녹화: 실제로 영상통화를 연결해 화면을 녹화하거나,
이후 AI 기술을 이용해 딥페이크 합성 영상을 만들어낸다.디바이스 권한 요청: “카메라 화질 설정”, “보안 인증” 등을 이유로
피해자 스마트폰의 저장소 접근·녹화 권한을 확보한다.
이 단계에서 피해자의 연락처, 갤러리, SNS 계정이 가해자의 손에 넘어간다. 추가로 확보한 피해자의 사진이나 영상을 이용하여 딥페이크로 조작된 합성물을 제작하기도 한다.
3. 협박: ‘유포’라는 심리적 공포를 이용
합성 영상을 확보한 뒤, 가해자들은 본격적인 협박 단계로 넘어간다.
보통 다음 순서로 진행된다.
확보된 피해자의 민감한 신체부위가 노출된 이미지를 전송한다.
피해자의 SNS 팔로워·가족·직장 정보를 보여주며 협박한다.
“지금 송금하면 삭제하겠다”는 식으로 금전을 요구한다.
피해자가 송금하더라도 추가 금액을 요구하거나,
“다시 보내지 않으면 유포한다”며 지속 협박(재갈취)을 이어간다.
4. 진화: 딥페이크 + 스테가노그래피 결합
최근에는 단순 영상이 아니라,
스테가노그래피(Steganography, 정보 은닉 기술)를 활용해
일상적인 이미지나 문서 속에 악성 코드나 영상 데이터를 숨기는 방식이 등장했다.
피해자가 단순한 ‘증거 사진’을 받는 척 파일을 열면,
그 안에 숨겨진 악성코드가 작동해 기기 내부 접근·클라우드 해킹으로 이어진다.
이는 기존에 진행했던 피싱 수법을 넘어,
피해자의 개인정보·계좌·연락처 전체를 통제하는 수준의 공격으로 발전하고 있다.
마침표: 외부인이 주는 파일은 항상 조심해야 한다
기술이 발전하면서 범죄자들의 수법도 점점 더 교묘해지고 있다.
그들은 사람의 심리를 교묘히 파고들며 약점을 노린다.
만약 본인이나 주변 사람이 이러한 피해를 당했다면,
숨지 말고 즉시 대응해야 한다.
가해자들은 피해자가 느끼는 두려움과 수치심을 이용해 협박을 이어간다.
따라서 혼자 감당하려 하지 말고,
가까운 사람에게 알리거나 전문 기관의 도움을 받는 것이 중요하다.
이런 범죄는 절대 피해자의 잘못이 아니다.
상대의 심리를 악용하고 협박하는 범죄자의 명백한 책임이다.
위험한 상황에 처했다면, 주저하지 말고
관련 전문기관이나 기업의 도움을 요청하자.
그 한 걸음이 피해 확산을 막는 가장 빠른 대응이다.
아크링크의 영상 유포 차단 솔루션
초기 대응 가이드 제공
몸캠피싱과 더불어 딥페이크까지 그 외 해당되는 디지털 범죄가 있다면 아크링크만의 전용 솔루션으로 신속한 대응으로 해결할 수 있습니다.
몸캠피싱: 악성 앱 검사를 하고 싶다면?
*이미지를 클릭하시면 닥터피싱 사이트로 연결됩니다.
닥터피싱은 아크링크에서 개발한
업계 최초 악성 앱 분석 플랫폼입니다.
아크링크의 모든 글과 이미지는 저작권의 보호를 받습니다.
허가 없이 복사·재게시·편집·배포하거나 이미지를 무단 사용하는 행위는 금지됩니다.
무단 사용이 확인될 경우 삭제 요청 없이 즉시 법적 조치(민·형사상 대응) 를 진행합니다. 콘텐츠 사용이나 인용이 필요한 경우 반드시 사전 협의 바랍니다.