AI 전문 정보 플랫폼 유튜브 채널 AI 매터스가 피싱(Phishing) 공격으로 유튜브 계정을 탈취당할 뻔한 아찔한 경험을 공개했다.
사건의 발단은 해외 사이트로부터 날아온 광고 제안 메일이었다. 발신자는 자사 사이트에 광고를 집행할 의향이 있냐고 물었고, AI 매터스는 과거에도 유사한 방식으로 광고를 진행한 경험이 있어 별다른 의심 없이 응했다. 그런데 돌이켜 보면 이상한 점이 두 가지 있었다. 발신자가 회사 이메일이 아닌 지메일(Gmail)을 쓰고 있었다는 점, 그리고 국내 에이전시 사이트의 주소에 ‘종로’가 적혀 있었지만 해당 기관으로 기재된 동국대학교는 실제로 종로에 위치하지 않는다는 점이다. 두 가지 의심스러운 신호를 알아채고도, 매출에 대한 압박감에 그냥 넘겼다는 게 AI 매터스 측의 설명이다.
결국 팀은 해당 에이전시 사이트에 지메일 주소와 비밀번호를 입력했다. 2단계 인증(Two-Factor Authentication)을 켜두었지만, 인증 요청이 떴을 때도 의심하지 않고 통과시켰다. 이후 지메일에서 ‘강원도에서 접속했다’는 보안 알림이 날아왔고, 곧이어 본인이 설정한 적 없는 백업 코드(Backup Code)가 생성됐다는 알림이 이어졌다. 백업 코드는 비밀번호 없이도 계정에 로그인할 수 있는 수단이다. AI 매터스가 즉시 비밀번호를 바꿨지만, 피싱범들은 이미 확보해 둔 백업 코드로 접속을 이어갔다.
그 뒤 30분도 채 안 돼 계정의 모든 정보가 바뀌었다. 비밀번호는 물론 복구 전화번호와 복구 이메일까지 순식간에 변경됐고, 팀은 어떤 수단으로도 계정에 접근할 수 없는 상황에 놓였다. 어도비(Adobe)를 비롯해 해당 지메일로 연동된 모든 서비스 접속이 막혔고, 유튜브 채널도 마찬가지였다. 이런 탈취 계정은 보통 일론 머스크(Elon Musk) 등 유명인이 등장하는 암호화폐 투자 사기 라이브 방송에 악용된다. AI 매터스는 약 9개월 동안 긴 영상과 짧은 영상을 합쳐 1,100개를 올린 채널을 하루아침에 잃을 수도 있는 상황이었다.
다행히 신속한 초동 대처가 효과를 발휘했다. AI 매터스는 구글(Google) 계정 복구 절차를 반복해서 시도해 접속 기록을 꾸준히 쌓았고, X(트위터)의 @TeamYouTube 계정에 계정 탈취 사실을 멘션했다. 약 2시간 만에 @TeamYouTube 측에서 DM이 왔고, 하루 뒤 케이스 번호를 받았다. 한편, 피싱범이 VPN을 이용해 강원도 속초 IP로 접속한 것으로 추정되는데, 평소와 전혀 다른 접속 패턴을 감지한 구글이 해당 계정을 자동으로 정지시켰다. 덕분에 피싱범도 더 이상 접속하지 못하는 상태가 됐다. 이 과정에서 AI 매터스는 해킹당한 지메일을 회사 메일로 포워딩(Forwarding) 설정해 뒀기 때문에, 피싱범의 복구 시도 내역을 실시간으로 파악할 수 있었다.
사건 발생 48시간째, 드디어 복구 이메일이 도착했다. 포워딩 덕분에 탈취된 메일함을 열지 않고도 복구 메일을 확인할 수 있었다. 구글 애드센스(Google AdSense) 펍(Pub) 계정 번호와 유튜브 채널 고유 주소를 미리 기록해 뒀던 것도 복구 과정에서 도움이 됐다. 결국 복구 절차를 통해 계정을 온전히 되찾았고, 9개월치 영상과 채널 데이터는 아무런 피해 없이 보존됐다.
AI 매터스는 이번 사태를 계기로 패스키(Passkey), 복구 전화번호, 복구 이메일 등 모든 보안 옵션을 재설정했다. 패스키는 얼굴 인식(Face ID)·지문 인식 같은 생체 인증 기반 로그인 수단으로, 여러 팀원이 계정을 공유하는 환경에서도 각자의 기기에 등록해 쓸 수 있어 유용하다. AI 매터스는 ▲2단계 인증 활성화 ▲패스키 등록 ▲다른 계정으로 자동 포워딩 설정을 당부했다. 유튜브 계정 탈취 시에는 X에서 @TeamYouTube에 신속히 멘션하고, 구독자 1만 명 이상의 채널을 가진 지인이 있다면 영어 채팅(24시간 운영)을 통해 복구를 시도하는 것도 방법이라고 전했다.
▶ 자세한 내용은 AI 매터스 유튜브에서 확인할 수 있다.
📜 영상 스크립트
이것은 저의 48시간의 투쟁의 기록입니다.
오늘은 AI 매터스 유튜브가 해킹당할 뻔한 이야기 들려드리겠습니다. 유튜브 계정이 해킹당했다고들 하는데, 정확하게 말하면 해킹이 아니라 피싱입니다. 매출을 내야 된다는 저의 욕심에서 비롯된 거고요.
해외 어떤 사이트에서 광고를 줄게, 광고할 생각 있니? 이런 메일이 왔거든요. 이게 처음은 아닙니다. 몇 번 광고를 했었고, 소액이지만 광고를 진행해서 여러분한테 좋은 정보도 드리면서 저희도 매출도 얻고 이런 거를 진행한 적이 있는데, 비슷한 과정에서 진행이 됐습니다.
이런 경우에 보통 페이팔로 송금을 받죠. 근데 이 사이트는 한국에 우리 에이전시가 있다, 여기서 결제를 받으면 된다 이런 식으로 얘기를 하더라고요.
되돌아 보면 이상한 점이 두 가지가 있었어요. 하나는 메일을 보낸 사람이 지메일을 썼다는 겁니다. 보통 이런 경우에 회사 이메일을 써야 돼요. 두 번째로 그 에이전시 사이트가 이상했습니다. 에이전시 사이트인데 주소가 종로로 되어 있고 동국대학교라고 주소가 되어 있었습니다. 아시겠지만 동국대학교는 종로에 있지 않습니다.
매출이 급하다 보니까 그냥 에이전시 사이트에 저희 AI 매터스 팀이 쓰는 지메일 주소 그리고 비밀번호도 입력을 한 겁니다. 그러니까 저는 자발적으로 그 사람들한테 우리 지메일과 비밀번호를 알려준 거죠.
지메일에서 알림을 받았어요. 뭔가 이상하다, 너 강원도에서 접속했니? 그러려니 했는데, 갑자기 백업코드가 설정이 됐다는 알림이 떴습니다. 백업 코드는 로그인 옵션 중에 하나로, 비밀번호 없이도 로그인을 할 수가 있습니다. 백업 코드를 저는 설정한 적이 없는데 백업 코드가 설정이 됐다는 거예요.
이때 뭔가 이상함을 느끼고 비밀번호를 바꿨습니다. 근데 백업 코드가 있잖아요. 이 피싱범들이 백업코드로 접속을 한 겁니다. 그 뒤에 정말 빠른 속도로 모든 게 바뀌었습니다. 30분 안에 모든 게 바뀌어요. 비밀번호, 복구 전화번호, 복구 이메일 모두 바뀌었습니다. 우리는 접속할 수 있는 어떤 수단도 남지 않았어요.
어도비 계정을 지메일로 쓰고 있는데 거기 접속할 수 없었고요. 유튜브에도 접속할 수 없었습니다. 보통 이런 피싱 같은 경우에는 그게 암호화폐 라이브 방송으로 바뀌어요. 일론 머스크 나오고 테슬라 계정으로 바뀌고 이런 경우가 많아요.
9개월 좀 넘는 기간 동안 제가 올린 영상이 긴 거 짧은 거 포함해서 1,100개입니다. 롱폼도 140개가 넘습니다. 이렇게 열심히 한 채널이 하루만에 물거품이 된 겁니다.
자 여기서 초동대처가 중요합니다. 구글 계정 복구 절차란 게 있어요. 어디에 문의해도 똑같은 답이옵니다. 전화를 할 수 있는 데가 없어요. 구글 대표 전화번호가 있는데 여기는 전화해봤자 아무 의미가 없습니다.
구글 계정 복구 절차를 틀리더라도 여러 번 하는 게 중요합니다. 구글은 로그인 절차를 다 기록을 하거든요. 그래서 어디서 접속했는지 어떤 IP로 접속했는지 이걸 다 알고 있어요. 회사에서 계속 그 복구 절차를 시도하면 그 안에서 기록이 쌓입니다.
그리고 유튜브에도 복구 절차가 있어요. 유튜브 복구 절차는 AI 채팅으로 되어 있어요. 탈취당한 계정 입력하고 복구 받을 다른 이메일 주소도 입력합니다. 여기서 구독자가 만 명이 넘는 경우에는 채팅이 활성화된다고 하더라고요.
채팅이 두 가지예요. 한국어 채팅은 9 TO 6 그 안에 접속을 해야 됩니다. 영어 같은 경우에는 24시간 활성화가 된다고 하더라고요. 만약에 채팅으로 복구를 시도하실 경우에는 구독자 1만명이 넘는 친구분한테 부탁을 해서 영어로 시도를 하셔야 됩니다.
TeamYouTube X, 트위터 계정에 멘션을 하래요. X 계정으로 발빠르게 @TeamYouTube 멘션을 해서 계정이 탈취당했다 이렇게 얘기를 했습니다. 그 @TeamYouTube 계정이 실제로 DM이 왔어요. 한 2시간 안에 왔어요.
그날 저녁에 지메일 계정이 전체가 정지됐다는 메일이 왔습니다. 다행이죠. 우리도 접속을 못하지만 피싱범도 접속을 못하는 겁니다. 평소와 너무 다른 패턴으로 로그인이 되니까 구글이 계정을 정지시켜 버린 거에요.
위치는 강원도 속초시로 떴는데, 이 사람들이 한국 사람들은 아닐 거예요. VPN을 쓴 게 아닐까 이런 생각이 들고요. 이틀 동안 업무가 거의 마비가 됐었어요. 대부분의 편집 툴이 지메일 위주로 되어 있더라고요.
이튿날, 이틀째 되는 날에 복구 이메일이 왔습니다. 해킹 당한 메일로 왔어요. 포워딩을 안 해놨으면 그걸 못 봤을 거 아닙니까? 어쨌든 포워딩을 했으니까 저희는 그걸 받았습니다.
구글 애드센스에 펍 계정이라고 있습니다. 15자리 펍 계정이라는 게 있는데 그것도 입력하고, 유튜브의 핸들 외에 난수로 된 원래 주소도 알고 있어야 된다고 들었는데, 입력을 안 해도 복구가 됐습니다.
저희 계정은 아무 피해도 보지 않고 업무만 이틀 마비되고 끝났습니다.
여러분께 요청드리고 싶은 거는 2단계 인증입니다. 아무리 작은 계정이라도 2단계 인증 다 켜십시오. 복구 이메일, 복구 전화번호, 그리고 패스키, 패스키 꼭 해 놓으십시오. Face ID 지문인식 이거 패스키로 다 등록이 되거든요.
특히 X, 트위터에서 @TeamYouTube 계정에 빠르게 멘션을 하시는 게 중요합니다. 평소에 안 쓰시더라도 다른 계정에 자동 포워딩을 하나 해놓으세요. 그래야지 해킹당했을 때 복구를 하실 수 있습니다.
이 지옥같은 48시간의 기록, 부디 여러분은 겪지 말라는 바람으로 이 컨텐츠를 남깁니다. AI 매터스 채널 잘 복구됐고요, 열심히 다시 영상 만들어 보도록 하겠습니다.
이미지 출처: 이디오그램 생성
