사이버범죄자가 주로 노리는 인포스틸러 피해 유형에 나도 해당될까?

인포스틸러는 무엇을 하며 어떻게 작동하나요?

인포스틸러는 컴퓨터 시스템을 감염시켜 저장된 사용자명과 비밀번호, 브라우저 자동 완성 항목, 금융 정보 및 기타 개인 식별 정보(PII) 등 로컬에 저장된 데이터를 탈취하기 위해 만들어진 멀웨어의 한 유형입니다.

일반적인 전술은 피해자를 속여 함정이 설치된 파일이나 설치 프로그램을 실행하도록 유도하는 것입니다. 공격자들은 일반적으로 피싱, 악성 광고, 또는 "클릭해서 고치기" 스타일의 사회 공학을 통해 이를 수행합니다. 악성코드가 실행되면 일반적인 저장 위치(웹 브라우저, 이메일 클라이언트, 패스워드 관리자 등)에서 데이터를 수집한 다음, 탈취한 정보를 로그 파일로 패키징하여 공격자가 제어하는 인프라 서버로 전송합니다. 많은 작업에서 이러한 로그를 수신하고 정리하며 쉽게 검색할 수 있도록 만드는 백엔드 패널을 사용합니다.

데이터 유출 후, 인포스틸러 운영자들은 이익을 위해 로그를 판매하거나, 비공개 커뮤니티에서 거래하거나, 탈취한 데이터를 계정 탈취 및 사기와 같은 후속 공격에 사용하는 동료 범죄자들에게 전달합니다.

인포스틸러가 기기에 침입하는 방법

인포스틸러는 일반적으로 사용자가 스스로 악성 파일을 실행하도록 속을 때 기기를 감염시킵니다. 공격자들은 악성코드를 합법적이고 유용하며 긴급해 보이게 만드는 사회 공학과 유통 채널을 사용합니다. 가장 일반적인 감염 경로는 다음과 같습니다.

크랙 소프트웨어, 치트, 모드 및 "무료" 도구

인포스틸러는 크랙 소프트웨어, 게임 치트나 모드, 비공식 설치 프로그램을 통해 배포될 수 있으며, 여기서 악성코드가 합법적인 프로그램에 편승합니다. 이러한 파일들은 토렌트 사이트, 파일 호스팅 플랫폼, 포럼, 동영상 설명에서 공유되며, 사용자들이 경고를 비활성화하거나 보안 프롬프트를 무시하는 경향이 있는 곳들입니다. 실행되면 악성코드가 포함된 악성코드가 광고된 소프트웨어와 함께 실행되어 저장된 데이터를 수집합니다.

가짜 다운로드 페이지, 악성 광고 및 스폰서 검색 함정

인포스틸러는 또한 실제 소프트웨어 사이트를 모방한 사기성 광고, 스폰서 검색 결과, 가짜 다운로드 페이지를 통해서도 퍼집니다. 이러한 페이지들은 사람들이 인기 있는 도구, 업데이트 또는 패치를 검색할 때 나타나며, 빠른 시각적 확인을 통과할 정도로 정교하게 만들어집니다. 하지만 가짜 다운로드 버튼을 부주의하게 클릭하면 합법적인 소프트웨어가 인포스틸러 페이로드로 바뀔 수 있습니다.

악성 브라우저 확장 프로그램

인포스틸러는 또한 광고 차단기, 생산성 애드온, 가격 추적기와 같은 합법적인 도구로 위장한 악성 브라우저 확장 프로그램을 통해서도 전달될 수 있습니다. 브라우저에 추가되면 이러한 확장 프로그램은 신뢰할 수 있는 환경 내에서 작동하며 저장된 비밀번호, 쿠키, 활성 세션에 직접 액세스할 수 있습니다. 이러한 위장 때문에 악성 확장 프로그램은 이미 원하는 데이터를 탈취한 후에도 오랫동안 그 자리에 남아 있을 수 있습니다.

채팅 앱과 클라우드 스토리지를 통해 공유되는 링크와 파일

인포스틸러는 또한 그룹 채팅, 서버, 개인 메시지와 같은 채팅 플랫폼에서 공유되는 링크와 파일, 그리고 포럼이나 소셜 미디어에 게시된 클라우드 스토리지 링크를 통해서도 기기에 침입할 수 있습니다. 공격자들은 "무료 도구", "프리미엄 콘텐츠", 또는 "수정 프로그램"을 공유한 다음, 내장된 파일 호스팅이나 공유 폴더를 사용하여 감염된 압축 파일과 설치 프로그램을 전달합니다. 피해자가 파일을 열면 인포스틸러가 실행되어 로컬에 저장된 데이터 수집을 시작합니다.

로더 네트워크와 설치당 지불 캠페인

때때로 인포스틸러는 로더 악성코드에 의해 기기로 푸시되는데, 이는 이미 기기에서 실행 중인 작은 프로그램으로 다른 악성 파일을 다운로드하고 실행하는 것이 유일한 목적입니다. 로더는 일반적으로 인포스틸러와 같은 방식으로 설치되지만(함정이 설치된 다운로드, 피싱 첨부 파일, 또는 악성코드가 포함된 링크), 공격자들이 나중에 새로운 페이로드를 배포할 수 있도록 기기에 머물러 있습니다. 범죄 운영자들은 이러한 로더 네트워크에 돈을 지불하여 국가나 볼륨별로 감염된 컴퓨터에 인포스틸러를 푸시합니다. 이 모델은 같은 사용자를 두 번 속일 필요가 없게 하고 악성코드 전달을 자동화된 서비스로 바꿉니다.

인포스틸러가 가장 많이 공격하는 피해자 유형

인포스틸러에 가장 많이 영향받는 사용자들은 일반적으로 저장된 비밀번호, 동기화된 로그인, 활성 세션이 있는 열린 탭이 밀집되어 있는 기기를 가진 사람들입니다. 수많은 사례에서 동일한 유형의 사용자들이 계속 나타나며, 이는 그들의 온라인 활동과 사용하는 도구에 의해 형성됩니다. 아래 프로필들은 일반적인 피해자 유형을 스케치하고 겉보기에 정상적인 행동이 어떻게 매력적인 표적으로 합쳐질 수 있는지 보여줍니다.

"항상 로그인" 유형

"항상 로그인" 유형은 주로 자신의 계정에 로그인 상태를 유지하고 소셜 네트워크(Facebook, Instagram, X 등), 유료 미디어 및 스트리밍 플랫폼, 온라인 쇼핑 사이트, 개인 금융 서비스에 많은 시간을 보내는 Windows 사용자들을 설명합니다. 이러한 사용자들은 계정을 매일 사용하고 거의 로그아웃하지 않기 때문에 비밀번호를 저장하고 세션을 활성 상태로 유지하는 경향이 있습니다. 그리고 공격자의 관점에서 보면, 이것은 쉬운 표적입니다.

"게이머" 유형

"게이머" 유형에는 대규모 게임 생태계에서 시간을 보내고 정기적으로 게임 런처, 모드, 치트, 게임플레이를 사용자 정의하거나 잠금 해제하기 위한 서드파티 애드온을 설치하는 사용자들이 포함됩니다. 이 그룹은 대부분의 사용자보다 더 많은 서드파티 파일을 실행하므로, 함정이 설치된 다운로드를 실행하고 공격자들에게 쉬운 진입점을 제공할 가능성이 높아집니다. 인포스틸러는 악성코드가 포함된 크랙 게임, 비공식 모드, 또는 "무료" 성능 도구를 통해 타겟 "게이머"들의 기기를 감염시킵니다. 게임 계정은 일반적으로 결제 세부 정보와 디지털 구매를 저장하고, 브라우저 세션은 일반적으로 활성 상태를 유지하므로, 인포스틸러 운영자들이 이 그룹을 선호하는 이유를 설명합니다.

"IT 전문가" 유형

아이러니하게 들릴 수 있지만, "IT 전문가" 유형은 악의적 행위자들의 주요 표적입니다. 인포스틸러는 IT 전문가들을 심하게 공격하는데, 그들의 엔드포인트(주로 엔지니어링이나 IT 관리에 사용되는 PC)가 고가치 자격 증명과 관리자 액세스를 한 곳에 집중시키기 때문입니다. 그들은 종종 일상적인 브라우징 데이터와 함께 관리자 로그인, API 토큰, 원격 액세스 자격 증명을 저장합니다. 인포스틸러가 이런 기기에 침입하면, 탈취된 브라우저 데이터가 내부 도구와 인프라에 액세스하는 첫 번째 도미노가 될 수 있습니다.

쿠키 탈취가 비밀번호와 MFA를 이길 수 있는 이유

시간이 지나면서 로그인 보안이 개선됨에 따라 인포스틸러 전술도 함께 변화했습니다. 오늘날 인포스틸러 운영자들은 원시 비밀번호보다 인증 쿠키와 세션 토큰을 더 자주 표적으로 삼습니다. 이러한 변화는 사람들이 이제 계정에 로그인하는 방식을 반영합니다. 더 많은 사용자들이 패스워드 관리자와 다중 인증(MFA)에 의존하므로, 공격자들은 이러한 방어를 우회할 수 있는 데이터를 노립니다.

쿠키와 토큰은 성공적인 로그인 후에 발급되므로, 때때로 공격자가 다른 로그인 화면이나 MFA 프롬프트를 트리거하지 않고 계정에 침입할 수 있게 해줍니다. 위험을 증폭시키는 것은 세션이 유효한 기간입니다. 탈취된 토큰은 세션이 만료되거나 서비스가 이를 취소할 때까지 재사용될 수 있어, 공격자들에게 로그인된 서비스를 이동할 수 있는 창을 제공합니다.

지하 시장에서 탈취된 세션 데이터는 이제 그 자체로 상품으로 취급되며, 로그의 "신선도"가 직접적으로 가격을 좌우합니다. 비밀번호 탈취에서 세션 쿠키와 토큰 탈취로의 이동은 공격자들이 더 강한 인증 방어에 어떻게 대응하고 적응하는지의 좋은 예입니다.

인포스틸러 악성코드 감염 위험을 줄이는 방법

인포스틸러 악성코드에 감염될 위험을 줄이려면, 기기에 저장되는 계정 액세스의 양을 제한하고 따라서 인포스틸러가 기기를 손상시킬 경우 공격자가 이동할 수 있는 범위를 줄여야 합니다. 아이디어는 다른 계정이나 서비스를 잠금 해제하는 계정과 세션을 엄격하게 함으로써 피해 반경을 줄이는 것입니다. 아래 단계들은 온라인 루틴을 재구성하지 않고도 이를 수행할 수 있는 방법들을 설명합니다.

• 가장 민감한 계정을 먼저 보호하세요. 계정의 순수한 숫자가 아닌 게이트웨이 관점에서 생각하세요. 주요 이메일과 신원 로그인을 먼저 잠그고, 은행, 쇼핑, 주요 업무 서비스에 동일한 보호를 적용하세요. MFA와 패스키를 지원하는 곳이면 어디든 사용하고, 이러한 핵심 계정을 비밀번호만으로 보호하지 않도록 노력하세요. 
• 브라우저가 더 적게 기억하도록 하세요. 정기적으로 브라우저나 비밀번호 관리자가 저장하고 있는 비밀번호를 살펴보고, 더 이상 사용하지 않는 것들을 삭제하며, 낯선 세션에서 로그아웃하세요. 운영 체제와 브라우저를 최신 상태로 유지하는 것도 중요한데, 구버전은 악용하기 쉽고 인포스틸러 감염 후 복구하기 어렵기 때문입니다.
• 다운로드와 "무료" 도구를 주의깊게 다루세요. 비공식 런처나 크랙 소프트웨어 설치를 피하세요. 그리고 도구가 보호를 비활성화하거나 보안 프롬프트를 우회하여 설치하라고 요청한다면, 그 마찰을 경고 신호로 받아들이고 멀리하세요.
• 탈취 신호를 주시하고 액세스를 빠르게 변경하세요. 예상치 못한 로그인 알림, 요청하지 않은 비밀번호 재설정 이메일, 새로운 기기 로그인을 계정 탈취의 신호로 받아들이세요. 다른 기기를 사용해 비밀번호를 변경하고(감염이 의심되는 기기 말고), 서비스가 허용하는 곳에서 활성 세션을 취소하며, 공격자가 이메일이나 백업 코드를 통해 재진입할 수 없도록 계정 복구 설정을 검토하세요.