미 법무부, 2026 월드컵 불법 스트리밍에 사용된 도메인 약 400개 압수 — 이전 단속 규모의 5배에 달하는 작전

미 법무부(U.S. Department of Justice)는 2026 FIFA 월드컵 경기를 불법으로 생중계하던 약 400개의 도메인을 압수했다고 발표했습니다. “오프사이드 작전(Operation Offsides)”이라는 명칭으로 진행되는 이번 노력은 국가 지식재산권 조정 센터(National Intellectual Property Rights Coordination Center)가 국토안보수사국(Homeland Security Investigations, HSI)과 함께 주도하고 있으며, 버지니아 동부 연방법원에 압수 영장이 제출되었습니다. 현재까지 차단된 도메인의 총 개수는 2022년 카타르 대회 당시 차단된 양의 약 5배에 달하며, HSI는 이러한 스트리밍 서비스가 시청자를 악성코드(malware) 및 금융 데이터를 훔칠 수 있는 연결에 노출시킬 수 있다고 경고했습니다.

2026년 대회는 미국, 캐나다, 멕시코가 공동 개최하며, 이로 인해 미국 당국은 대회가 카타르에서 열렸을 때보다 더 강력한 관할권을 갖게 되었습니다. 조사관들은 스트리밍 인프라를 페루와 불가리아에 있는 서버로 추적했으며, 크로아티아, 루마니아, 폴란드, 콜롬비아에서도 지원적인 차단 조치가 이루어졌습니다. FIFA가 위반 도메인을 식별하였으며, beIN Media Group, NBCUniversal, 영화협회(Motion Picture Association)의 창의성 및 엔터테인먼트 연합(Alliance for Creativity and Entertainment), UFC, Warner Bros.가 모두 추가 정보 제공을 도왔습니다.

법무부 형사국(Criminal Division)의 A. Tysen Duva 차관보 법무관은 이번 압수가 “개최국으로서 범죄자들로부터 FIFA 월드컵을 보호해야 하는 국가적 의무”를 반영한다고 말했습니다. 도메인 압수는 주소를 계속 변경하고 중복된 복사본으로 복구하는 운영 방식에 대응하기에는 제한적인 도구이기에, 집행 기관들은 하나씩 대응하기보다 수백 개의 도메인을 한꺼번에 기습적으로 타격하는 방식을 취합니다.

2021년 Webroot의 불법 스포츠 스트리밍 사이트 분석에 따르면, 사이트의 92%가 어떤 형태로든 악성 콘텐츠를 포함하고 있었으며, 이는 주로 운영 자금을 조달하는 광고 네트워크 (ad networks)를 통해 전달되었습니다. 2024년 월드컵 이후, Microsoft Threat Intelligence는 2024년 12월에 발생한 약 100만 대의 기기에 영향을 미친 악성 광고 (maladvertising) 캠페인을 추적하였으며, 그 근원을 불법 스트리밍 사이트로 파악했습니다. 해당 사이트의 비디오 프레임에 삽입된 리디렉터 (redirectors)가 사용자를 여러 단계를 거쳐 GitHub에 호스팅된 Lumma 및 Doenerium과 같은 정보 탈취기 (information stealers)로 유도했습니다. Microsoft는 이 캠페인이 개인용 및 기업용 기기 모두를 공격했음을 확인했습니다.

이러한 감염은 다운로드 프롬프트나 자격 증명 (credentials) 입력 없이, 재생 또는 음소거 버튼을 단순히 클릭하는 것만으로도 리디렉션 체인 (redirect chain)을 시작하는 경우가 많습니다. 'Operation Offsides' 작전은 여전히 진행 중이며, 법무부는 압수된 사이트 배후의 운영자들을 계속해서 추적할 것이라고 밝혔습니다.