“게임 엔진 ‘고도(Godot)’ 악용한 ‘갓로더(GodLoader)’ 악성코드 캠페인, 1만 7천여 대 감염”

공격은 주로 개발자, 게이머, 일반 사용자 표적

최근 사이버 범죄자들이 오픈소스 게임 엔진인 고도(Godot)를 악용해 ’갓로더(GodLoader)’로 알려진 새로운 악성코드 캠페인을 전개하고 있는 것으로 드러났다. 이 캠페인은 2024년 6월부터 시작되어 지금까지 1만 7천 대 이상의 시스템을 감염시킨 것으로 확인됐다. 공격은 주로 개발자, 게이머, 일반 사용자를 표적으로 삼고 있다.

#고도(Godot) 엔진 악용한 악성코드 배포

고도(Godot) 엔진은 2D 및 3D 게임을 윈도우(Windows), 맥OS(macOS), 리눅스(Linux), 안드로이드(Android), iOS, 플레이스테이션(PlayStation), 엑스박스(Xbox), 닌텐도 스위치(Nintendo Switch), 웹(Web) 등 다양한 플랫폼에서 개발할 수 있도록 지원하는 강력한 오픈소스 도구다. 그러나 이 강력한 다중 플랫폼 지원 기능이 오히려 사이버 범죄자들에게 악용돼 대규모 악성코드 배포의 도구가 되고 있다.

체크포인트(Check Point) 연구원들은 고도(Godot)의 스크립트 언어인 GDScript를 조작해 악성 명령을 실행하고 최종 페이로드를 배포하는 방식으로 악성코드를 전개하고 있다고 밝혔다. 특히 이 방법은 바이러스토탈(VirusTotal)에서 거의 탐지되지 않을 만큼 높은 은밀성을 보이고 있다.

#깃허브(GitHub) ‘스타게이저스 고스트 네트워크’ 활용

갓로더(GodLoader) 캠페인은 깃허브(GitHub)의 ’스타게이저스 고스트 네트워크(Stargazers Ghost Network)’로 알려진 약 200개의 저장소와 225개 이상의 가짜 계정을 활용해 악성코드를 배포하고 있다. 이 가짜 계정들은 악성 저장소를 ’별표(starring)’로 표시해 마치 신뢰할 수 있는 자료인 것처럼 위장하고 있다. 이러한 배포는 2024년 9월 12일, 9월 14일, 9월 29일, 10월 3일 등 총 네 차례에 걸쳐 진행됐다.

갓로더(GodLoader)의 공격 방식은 고도(Godot) 엔진 실행 파일, 특히 .PCK 파일(게임 자산 및 리소스를 포함하는 파일)을 활용한다. 이 파일에 삽입된 악성 GDScript 코드가 실행되면 추가 악성코드(예: 레드라인 스틸러(RedLine Stealer)와 엑스엠릭(XMRig) 암호화폐 채굴기)가 비트버킷(Bitbucket) 저장소에서 다운로드되고 실행된다.

또한 갓로더(GodLoader)는 샌드박스(sandbox)나 가상 환경에서의 분석을 회피하는 기능을 포함하고 있으며, 시스템 설정을 변경해 마이크로소프트 디펜더(Microsoft Defender) 안티바이러스의 예외 목록에 C:\ 드라이브 전체를 추가하여 악성코드 탐지를 차단하고 있다.

현재 공격은 주로 윈도우(Windows) 시스템을 표적으로 삼고 있지만, 고도(Godot)의 구조적 특성 덕분에 맥OS(macOS), 리눅스(Linux)와 같은 다른 운영체제로 쉽게 확장할 수 있다. 연구원들은 이러한 멀티 플랫폼 확장 가능성이 공격 표면을 더욱 넓히고 있음을 강조했다.

보안전문가들은 악성코드 감염을 방지하기 위해 사용자가 반드시 신뢰할 수 있는 소스에서만 소프트웨어를 다운로드해야 한다고 조언했다. 또한 .PCK 파일 암호화에 대칭키 대신 공개키 암호화(비대칭 키 알고리즘)를 도입하면 무단 변조를 방지할 수 있다. 공개키 암호화는 데이터 암호화와 복호화를 각각 다른 키(공개키와 개인키)로 수행하기 때문에 보다 안전한 방식으로 평가받고 있다.

갓로더(GodLoader) 캠페인은 사이버 범죄자들이 합법적인 플랫폼을 악용해 악성코드를 배포하는 새로운 방식을 보여주는 사례다. 고도(Godot) 엔진의 강력한 기능을 활용한 이번 공격은 기존 보안 솔루션으로 탐지하기 어려운 방식으로 이루어지고 있으며, 멀티 플랫폼 접근 방식으로 악성코드의 전파력을 극대화하고 있어 각별한 주의가 요구된다.