Since 1959

2026.07.09 (목)
2026.07.09 (목)
“인포스틸러 감염 35%, 다운로드 파일 실행이 원인”
2026-07-08 김미혜 기자, elecnews@elec4.co.kr

다크웹 로그 500만건 분석…복잡한 해킹보다 사용자 행동이 자격 증명 탈취의 핵심 요인


카스퍼스키는 디지털 풋프린트 인텔리전스(DFI) 분석 결과, 전체 인포스틸러(정보 탈취형 악성코드) 감염 사례의 35% 이상이 사용자가 브라우저에서 다운로드한 파일을 별다른 확인 없이 실행하면서 시작된 것으로 나타났다고 7월 8일 밝혔다.


이번 분석은 2025년 다크웹에서 발견된 약 500만 개의 인포스틸러 로그 파일을 기반으로 진행됐다. 로그에는 탈취된 계정 정보와 브라우저 쿠키, 시스템 메타데이터뿐 아니라 악성 파일이 실제 실행된 경로도 포함됐다.



업체 측에 따르면, 분석 결과 가장 많은 감염은 윈도우 임시 폴더인 C:\Users\<User>\AppData\Local\Temp\에서 시작됐으며 전체의 약 35%를 차지했다. 이는 사용자가 인터넷에서 내려받은 파일을 별도의 확인 과정 없이 실행하는 과정에서 감염이 발생하는 사례가 가장 많았다는 의미다.


반면 정상 프로세스에 악성 코드를 삽입하는 ’프로세스 인젝션(Process Injection)’과 운영체제의 정상 도구를 악용하는 ‘LOL(Living-off-the-Land)’ 기법은 전체의 약 32%를 차지했다. 이러한 공격은 주로 고도화된 인포스틸러 계열인 ‘Lumma’ 등에서 확인됐다.


연구진은 감염 사례 대부분이 신뢰할 수 없는 웹사이트에서 소프트웨어를 다운로드하거나 정품 인증을 우회하기 위한 불법 활성화 도구(Activator)를 사용하는 과정과 밀접한 관련이 있다고 분석했다. 일부 피해자는 공격자의 안내에 따라 악성 파일 실행 전 백신 등 보안 프로그램을 직접 비활성화한 것으로 확인됐다.


공격자들은 악성 파일을 정상 설치 프로그램이나 활성화 도구, 게임 모드(Game Mod) 등으로 위장해 사용자가 의심 없이 실행하도록 유도하는 것으로 나타났다. 이러한 위장 방식은 게임뿐 아니라 다양한 소프트웨어 배포 과정에서도 동일하게 활용되고 있다고 카스퍼스키는 설명했다.


인포스틸러 계열별 특징도 확인됐다. Lumma는 일반적인 설치 프로그램 이름과 .NET 난독화, 프로세스 인젝션 기법을 함께 사용하는 경향을 보였으며, Vidar는 ‘Bootstrapper.exe’ 형태의 파일명을 주로 사용했다. Stealc는 ‘Licence_Version_Loader.exe’와 같은 의미 있는 파일명과 무작위 파일명을 혼용했고, RisePro는 ‘MPGPH.exe’, ‘MSIUpdater.exe’ 등 일정한 파일명 패턴을 반복적으로 사용하는 것으로 분석됐다.


세르게이 셰르벨 카스퍼스키 DFI 연구원은 “2025년 인포스틸러 감염은 전년 대비 59% 증가했다”며, “많은 감염이 다운로드 임시 폴더에서 바로 시작됐다는 점은 복잡한 공격 기법보다 사용자가 파일을 직접 실행하도록 유도하는 사회공학 기법이 여전히 효과적이라는 사실을 보여준다”고 말했다.


이효은 카스퍼스키코리아 지사장은 “국내에서는 개인정보 유출 정보를 악용한 표적 피싱과 자격 증명 탈취형 악성코드 확산이 이어지고 있다”며, “기업과 공공기관은 엔드포인트 보안뿐 아니라 디지털 위험 모니터링과 임직원 대상 보안 교육을 함께 강화해 자격 증명 탈취를 예방해야 한다”고 말했다.


카스퍼스키는 대응 방안으로 기업에는 디지털 위험 보호 서비스와 위협 인텔리전스 도입을, 일반 사용자에게는 공식 경로를 통한 소프트웨어 다운로드, 보안 프로그램 비활성화 금지, 비밀번호 관리 솔루션 활용, 운영체제 최신 상태 유지 및 다중인증(MFA) 적용 등을 권고했다.

<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>

100자평 쓰기