본문으로 건너뛰기
J
피드

중국 오픈소스 프레임워크 유니앱, 투자 사기 사이트 20만 개에 악용

security 약 5분
tags
#uni-app#phishing#fraud#dcloud#crypto
vote
0
댓글
북마크

중국에서 널리 쓰이는 크로스 플랫폼 프레임워크 유니앱이 20만 개 이상의 투자 사기 사이트 템플릿에 악용된 정황이 나왔다. 정상 개발 도구 자체가 문제라기보다, 같은 프레임워크와 템플릿을 기반으로 사기 인프라가 대량 복제되고 있다는 점이 핵심이다.

  • 1

    유니앱 기반 투자 사기 사이트가 20만 개 이상 발견됨

  • 2

    유니앱 개발사 디클라우드가 사기에 관여했다는 정황은 없음

  • 3

    가짜 암호화폐 플랫폼 레인보엑스도 같은 프레임워크를 사용함

  • 4

    관련 사기 도메인은 2022년 중반부터 보이기 시작했고 2024년 말 이후 급증함

  • 중국 오픈소스 프레임워크 유니앱(Uni-App)이 투자 사기 사이트 제작에 대규모로 악용되고 있다는 보도가 나옴

    • 사이버 보안 기업 인포블록스(Infoblox)에 따르면, 유니앱으로 만든 투자 사기 템플릿을 쓰는 웹사이트가 20만 개 이상 발견됨
    • 유니앱은 단일 코드베이스로 모바일 앱, 데스크톱 앱, 모바일 최적화 웹사이트를 함께 만들 수 있는 크로스 플랫폼 개발 도구임

  • 여기서 중요한 포인트는 “프레임워크가 악성”이라는 얘기가 아니라, 정상 개발 도구가 사기 템플릿 공장에도 너무 잘 맞아떨어졌다는 점임

    • 유니앱은 중국에서 널리 쓰이고, 수천 개 정상 제품에도 활용되는 프레임워크임
    • 개발사 디클라우드(DCloud)가 사기에 관여했다는 정황은 없다고 기사에서 분명히 언급됨
    • 결국 문제는 오픈소스·크로스 플랫폼 도구 자체가 아니라, 그 위에 올라탄 대량 복제형 사기 인프라임

  • 대표 사례로 가짜 암호화폐 투자 플랫폼 레인보엑스(RainbowEx)가 언급됨

    • 레인보엑스는 아르헨티나의 한 소도시 주민 수천 명이 돈을 넣으면서 국제적으로 알려진 사건임
    • 이 플랫폼 역시 유니앱 프레임워크를 사용한 것으로 파악됨
    • 그냥 피싱 페이지 몇 개 수준이 아니라, 지역 사회 단위 피해까지 만든 사기 운영이라는 점이 꽤 세다

중요

> 발견된 사기 사이트 규모가 20만 개 이상이라는 게 핵심임. 특정 프레임워크 이름 하나를 차단하는 문제가 아니라, 템플릿·도메인·운영 방식이 반복되는 사기 생태계를 추적해야 하는 상황임.

  • 사기 도메인은 2022년 중반부터 등장했고, 2024년 말 이후 급격히 늘어난 것으로 보임

    • 특히 레인보엑스 스캔들 이후 증가세가 두드러졌다고 보도됨
    • 한 번 성공한 사기 모델이 템플릿화되고, 이후 비슷한 사이트가 빠르게 복제됐을 가능성이 큼

  • 인포블록스는 이제 개별 사이트 단위 대응만으로는 부족하다고 보고 있음

    • 지난 2년 동안 디클라우드 프레임워크를 쓰는 사기 사이트가 빠르게 늘었다고 지적함
    • 운영자들은 피해자를 속이기 위해 현실 세계 수법까지 계속 새로 만들고 있다고 설명함
    • 그래서 사이트 간 공통점, 운영자 패턴, 위협 행위자 그룹을 종합적으로 추적해야 한다는 입장임

기술 맥락

  • 이번 사건에서 선택된 기술은 유니앱 같은 크로스 플랫폼 프레임워크예요. 한 번 만든 코드로 여러 환경에 배포할 수 있으니 정상 서비스 개발에는 생산성이 좋고, 사기 사이트 운영자 입장에서도 템플릿을 빠르게 복제하기 좋아요.

  • 왜 이게 보안 이슈가 되냐면, 공격자가 매번 새 사이트를 처음부터 만들 필요가 없어지기 때문이에요. UI, 흐름, 모바일 최적화까지 갖춘 템플릿을 찍어내면 도메인만 바꿔가며 피해자를 모으는 비용이 확 낮아지거든요.

  • 그래서 방어 쪽에서는 “유니앱을 썼다” 하나만 보고 판단하면 위험해요. 정상 제품도 많이 쓰는 도구라서, 프레임워크 자체보다 빌드 산출물의 패턴, 도메인 생성 시점, 페이지 구조, 투자 유도 흐름 같은 공통 신호를 같이 봐야 해요.

  • 인포블록스가 위협 행위자를 종합적으로 추적해야 한다고 말한 이유도 여기에 있어요. 20만 개 사이트가 각각 별개 사건처럼 보여도, 실제로는 같은 템플릿과 운영 방식에서 나온 묶음일 수 있으니까요.

개발 도구가 성공하면 정상 서비스만 빨라지는 게 아니라 사기 템플릿 공장도 같이 빨라진다는 사례다. 보안팀 입장에서는 특정 프레임워크 사용 여부보다, 반복되는 템플릿·도메인·운영 패턴을 묶어서 보는 게 더 중요해진다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

무스탕판다, 조호 워크드라이브로 인도 정부 침투…정상 클라우드 트래픽에 악성코드 숨김

중국 연계 해킹 조직 무스탕판다가 인도 정부 기관과 수력발전 분야를 겨냥해 새 사이버 첩보 작전을 수행한 정황이 확인됐다. 공격자는 조호 워크드라이브를 지휘통제 채널로 악용했고, 샤드로더·미니리콘·조호머크 등 신규 악성코드 3종을 사용했다.

security

세온이앤에스, 임베디드 코드까지 파고드는 실시간 보안 분석 솔루션 출시

세온이앤에스가 C/C++ 기반 임베디드 소프트웨어의 오픈소스 구성 요소를 분석해 소프트웨어 자재명세서와 취약점 리포트를 자동 생성하는 ‘Seon Code Analyzer’를 출시했다. 패키지 매니페스트만 보는 방식이 아니라 소스코드에 복사·이식된 오픈소스까지 추적한다는 점을 내세운다.

security

정부, 딥페이크·AI 금융사기 잡는 10개 부처 합동 대응체계 가동

방송미디어통신위원회가 2026년 6월 26일 AI 범죄 대응 범부처 협의체 킥오프 회의를 열었음. 딥페이크 성착취, AI 허위광고, AI 금융사기 같은 악용 사례가 늘면서 10개 부처가 예방부터 피해회복까지 묶어서 대응하는 구조를 논의한 게 핵심임.

security

연령 인증은 결국 ‘익명 발언 추적’으로 가는 길이라는 주장

미국 여러 주, 유럽 국가, 호주에서 추진되는 연령 인증 규제가 단순히 미성년자 보호 장치가 아니라 온라인 계정과 현실 신원을 묶는 인프라가 될 수 있다는 비판 글이다. 글쓴이는 신원 확인이 충분히 보급되면 정부가 불편한 발언을 한 사람을 더 빠르게, 심지어 자동으로 특정할 수 있다고 본다.

security

아마존 Q 개발자 확장에 고위험 취약점, 악성 저장소만 열어도 클라우드 키 털릴 뻔

보안기업 위즈가 아마존 Q 디벨로퍼 확장 프로그램에서 개발자의 클라우드 자격 증명과 API 키가 유출될 수 있는 심각한 취약점을 발견했다. 악성 저장소를 열고 아마존 Q를 활성화하면 설정 파일 자동 실행, 쉘 생성, 환경 상속이 맞물려 민감 정보가 외부로 빠져나갈 수 있는 구조였다.