Infostealer란 무엇인가? 자격 증명 탈취 악성코드의 작동 방식

인포스틸러란 무엇인가?

엔드포인트 보호가 없는 외주업체 노트북이 클라우드 데이터 플랫폼의 자격 증명을 노출시켰고, 공격자는 단 한 번도 비밀번호를 크랙할 필요가 없었습니다. 이것이 한 문장으로 요약한 인포스틸러 문제입니다.

인포스틸러는 감염된 시스템에서 저장된 비밀번호, 세션 쿠키, 암호화폐 지갑 파일, 브라우저 자동완성 데이터 등 민감한 데이터를 은밀하게 탈취하도록 설계된 악성코드의 한 종류입니다. 인포스틸러는 조용히 동작합니다. 실행, 수집, 탈취, 종료까지 빠르게 이루어집니다. 탈취된 데이터는 스틸러 로그라 불리는 구조화된 아카이브로 정리되어 지하 시장에서 판매되며, 다른 범죄자들이 이를 구매해 후속 공격을 수행합니다.

ENISA 보고서는 인포스틸러를 "사이버 범죄 공급망에서 견고하고 널리 퍼진 연결고리"로 설명하며, 주로 자격 증명 탈취, 세션 하이재킹, 접근 브로커링을 촉진한다고 밝힙니다. 탈취된 자격 증명은 랜섬웨어 운영자, 비즈니스 이메일 침해 캠페인, 계정 탈취 사기의 초기 접근 경로가 됩니다. 즉, 인포스틸러 사고는 단순한 악성코드 정리뿐만 아니라 세션 무효화, 자격 증명 교체, 행위 기반 엔드포인트 보호가 필요함을 의미합니다.

인포스틸러는 아이덴티티 보안과 엔드포인트 보호의 교차점에 위치합니다. 이들은 사용자가 브라우저에 저장한 자격 증명, MFA 완료를 증명하는 세션 토큰, 개발자가 로컬 파일에 남긴 API 키를 노립니다. Verizon DBIR은 자격 증명 오용이 초기 접근과 연결되어 있으며, 랜섬웨어 피해자와 인포스틸러 자격 증명 유출 간의 중복을 언급합니다.

귀하의 SOC에서는 인포스틸러 탐지 시 즉시 위협 모델이 변경됩니다. 이는 단일 엔드포인트에 국한된 사고가 아닙니다. 계정 탈취, 수평 이동, 그리고 완전히 다른 공격자에 의한 랜섬웨어 배포의 전조입니다. 이를 가능하게 하는 요소를 이해하려면 인포스틸러의 구조부터 살펴봐야 합니다.

인포스틸러의 핵심 구성 요소

최신 인포스틸러는 다섯 가지 기능적 구성 요소를 중심으로 일관된 아키텍처를 공유합니다:

1. 전달 메커니즘: 피싱 이메일, 악성 광고 캠페인, 트로이화된 소프트웨어, Windows Run 또는 PowerShell을 통해 사용자가 명령을 실행하도록 유도하는 ClickFix/가짜 CAPTCHA 공격. 예를 들어 Lumma Stealer 캠페인은 피해자에게 Windows 실행 대화상자를 통해 명령을 복사해 실행하도록 지시하는 가짜 CAPTCHA 페이지를 사용합니다.
2. 자격 증명 수집 모듈: 브라우저 자격 증명 추출은 Chromium 브라우저의 SQLite Login Data 데이터베이스를 대상으로 하며, AES-GCM 또는 Windows DPAPI를 통해 비밀번호를 복호화합니다. 인포스틸러는 비밀번호 관리자, 이메일 클라이언트, VPN 구성, 암호화폐 지갑에서도 자격 증명을 수집합니다.
3. 세션 토큰 탈취: 쿠키 및 세션 토큰 수집을 통해 공격자는 비밀번호나 MFA 코드 없이도 인증이 가능합니다. 탈취된 쿠키는 MFA가 이미 완료되었음을 증명하므로 이를 완전히 우회합니다.
4. 데이터 스테이징 및 탈취: 탈취된 데이터는 구조화된 로그로 패키징되어 공격자 제어 C2 서버, Telegram 봇, Dropbox와 같은 클라우드 저장소로 전송됩니다. SentinelLabs 보고서는 탈취 속도를 높이고 판매 과정을 간소화하기 위해 사용된 Telegram 인프라를 문서화합니다.
5. 분석 회피 및 우회: VM/샌드박스 식별, 메모리 내 파일리스 실행, 프로세스 인젝션, 분석 도구를 크래시시키기 위한 파일 패딩 등이 포함됩니다. 이러한 기법은  MITRE ATT&CK T1027 (난독화된 파일 또는 정보)과 직접적으로 연관됩니다.

전체 운영은 MaaS(서비스형 악성코드) 비즈니스 모델로 이루어집니다. 개발자는 웹 패널, 페이로드 빌더, Telegram을 통한 고객 지원 채널을 유지합니다. 구독자는 독립적으로 캠페인을 운영합니다.

인포스틸러의 동작 방식

인포스틸러 공격은 예측 가능한 킬체인을 따르지만, 각 단계는 탐지 가능 시간을 최소화하도록 설계되어 있습니다.

1. 1단계: 초기 실행. 페이로드는  피싱, 악성 광고, 소셜 엔지니어링을 통해 도달합니다. SentinelLabs 연구는 사용자가 Haihaisoft PDF Reader 프리웨어의 서명된 복사본과 악성 DLL이 포함된 아카이브를 다운로드한 캠페인을 문서화했습니다.
2. 2단계: 자격 증명 수집. 악성코드는 브라우저 자격 증명 데이터베이스(T1555.003)를 대상으로 하며, Chrome의 Login Data 파일에 대해 SQL 쿼리를 실행하고 저장된 비밀번호를 복호화합니다. Katz Stealer는 독특한 기법을 문서화합니다: 악성코드는 브라우저를 헤드리스 모드로 실행하고 특수 DLL을 인젝션하여 브라우저의 보안 컨텍스트를 이용해 민감한 데이터에 접근합니다.
3. 3단계: 세션 토큰 탈취. 인포스틸러는 인증된 세션 쿠키(T1539)를 복사하여 공격자가 해당 세션이 유효한 웹 애플리케이션에서 사용자를 가장할 수 있게 합니다. 일부 변종은 접근을 재생성하거나 연장할 수 있는 기타 토큰도 탈취하므로, 비밀번호 변경만으로는 공격자 접근이 즉시 무효화되지 않을 수 있습니다.
4. 4단계: 보조 수집. 키로깅 (T1056), 암호화폐 주소 및 시드 문구를 위한 클립보드 모니터링(T1115), 암호화폐 지갑 파일 탈취, 피해자 프로파일링을 위한 시스템 지문 수집이 포함됩니다. SentinelLabs 분석은 Vidar가 2차 페이로드(예: 랜섬웨어) 배포 전 시스템 가치를 평가하기 위해 위치 데이터를 수집하는 것을 문서화합니다.
5. 5단계: 탈취 및 종료. 데이터는 암호화된 채널을 통해 C2 인프라로 전송되며, 종종 합법적인 서비스를 악용합니다. 악성코드는 이후 깨끗하게 종료되어 포렌식 흔적을 최소화합니다. 이 비지속적 실행 모델은 의도적인 설계입니다. 감염을 발견했을 때는 이미 악성코드는 사라졌고 자격 증명은 판매 중입니다.

인포스틸러가 막기 어려운 이유

여러 특성으로 인해 인포스틸러는 방어가 특히 어렵습니다.

• MaaS 모델은 기술 장벽을 제거합니다. 비기술적 운영자도 구독 기반 서비스로 자격 증명 탈취 도구를 배포할 수 있습니다. 법 집행 방해 이후에도 운영자는 빠르게 재구축하며 시장은 대체 패밀리로 이동합니다.
• 세션 토큰 탈취는 MFA를 무력화합니다. 인포스틸러는 세션 쿠키 탈취를 주요 기능으로 삼습니다. MITRE ATT&CK는 APT29, Scattered Spider, Star Blizzard, LAPSUS$가 모두 T1539를 사용해 MFA를 우회한 사례를 문서화합니다. 사고 후 비밀번호 교체만으로는 이미 공격자 손에 있는 활성 토큰을 무효화하지 못합니다.
• 다형성 우회는 시그니처 기반 도구를 무력화합니다. 파일리스 실행, 메모리 내 스테이징, 프로세스 인젝션은 정적 방어를 완전히 우회합니다. 업계 보고서는 AI를 활용한 대규모 피싱 이메일 생성 등으로 인포스틸러 배포가 증가하고 있음을 설명합니다.
• 합법적 플랫폼 악용은 차단 불가능한 채널을 만듭니다. 인포스틸러는 Telegram API, Dropbox, GitHub를 통해 탈취합니다. 이러한 서비스를 차단하면 비즈니스 운영에 지장이 생기므로, 네트워크 계층 필터링 대신 행위 기반 분석에 의존해야 합니다.

이러한 특성은 단일 도구에 국한되지 않습니다. 다양한 인포스틸러 패밀리 생태계 전반에 걸쳐 공유됩니다.

인포스틸러가 탈취하는 데이터 유형

인포스틸러는 각기 다른 후속 공격을 가능하게 하는 특정 고가치 데이터 유형을 표적으로 삼습니다.

1. 저장된 비밀번호 및 브라우저 자동완성 데이터. Chromium 및 Firefox 기반 브라우저는 자격 증명을 로컬 SQLite 데이터베이스에 저장합니다. 인포스틸러는 이 데이터베이스를 직접 쿼리하고, 운영체제 API를 통해 저장된 비밀번호를 복호화하며, 주소, 전화번호, 결제 카드 정보 등 자동완성 항목을 추출합니다. 이 자격 증명은 계정 탈취 캠페인 및 기업 SaaS 환경에서의 크리덴셜 스터핑 공격의 원재료가 됩니다.
2. 세션 쿠키 및 인증 토큰. 활성 세션 쿠키는 사용자가 인증(MFA 포함)을 이미 완료했음을 증명합니다. 탈취된 쿠키는 추가 인증 절차 없이 세션을 재생할 수 있게 해줍니다. 이는 인포스틸러가 MFA를 효과적으로 우회하는 주요 이유 중 하나입니다. 공격자는 인증 플로우를 거칠 필요가 없습니다.
3. 암호화폐 지갑 파일 및 시드 문구. 인포스틸러는 wallet.dat 파일, MetaMask와 같은 지갑 브라우저 확장 데이터, 클립보드의 시드 문구 및 지갑 주소를 복사합니다. 암호화폐 탈취는 되돌릴 수 없으므로, 지하 시장에서 매우 높은 가치를 가집니다.
4. 시스템 지문 및 환경 데이터. 호스트명, IP 주소, 설치된 소프트웨어, 실행 중인 프로세스, 하드웨어 식별자는 공격자가 피해자를 프로파일링하고, 탈취된 자격 증명이 고가치 기업 환경에 속하는지 판단하는 데 도움을 줍니다. SentinelLabs 분석은 Vidar가 2차 페이로드 배포 전 타깃 가치를 평가하기 위해 위치 데이터를 수집하는 것을 문서화합니다.
5. 이메일 클라이언트 및 메시징 애플리케이션 데이터. Outlook, Thunderbird 등 클라이언트의 로컬 저장 이메일, 채팅 로그, 애플리케이션 자격 증명은 공격자의 접근 범위를 브라우저 저장 데이터 이상으로 확장합니다. 탈취된 이메일 자격 증명은 비즈니스 이메일 침해 공격에 직접 활용됩니다.
6. VPN 및 RDP 구성. 저장된 VPN 프로필 및 원격 데스크톱 자격 증명은 단일 엔드포인트를 넘어선 네트워크 수준 접근을 제공합니다. 랜섬웨어 운영자가 스틸러 로그를 구매할 때 VPN 자격 증명은 기업 네트워크로의 직접 경로를 제공하므로 가장 가치 있는 항목 중 하나입니다.

인포스틸러가 표적으로 삼는 데이터의 폭이 이 영역에서 다양한 악성코드 패밀리가 경쟁하는 이유를 설명합니다. 각 패밀리는 이러한 데이터 유형의 조합을 최적화합니다.

주요 인포스틸러 패밀리

인포스틸러 생태계는 혼잡하며, 법 집행 방해로 인해 운영자가 새로운 도구로 빠르게 이동합니다. 아래 패밀리는 Windows와 macOS에서 가장 많이 문서화된 위협입니다.

Windows 인포스틸러

MacOS 인포스틸러

macOS 인포스틸러 환경은 2024년에 급격히 확장되었습니다. SentinelLabs 연구는 Amos Atomic, Banshee Stealer, Cuckoo Stealer, Poseidon 등 패밀리를 문서화하며, 모두 Keychain 자격 증명, 브라우저 데이터, 암호화폐 지갑을 표적으로 삼습니다. 이들 패밀리는 AppleScript를 사용해 비밀번호 대화상자를 위조하고 사용자가 로그인 자격 증명을 입력하도록 속여, 악성코드가 Keychain 및 시스템에 저장된 모든 비밀번호에 접근할 수 있게 합니다.

패밀리나 플랫폼에 관계없이, 탈취된 자격 증명은 동일한 경로를 따릅니다. 지하 시장으로 유입되어, 종종 랜섬웨어 운영자 손에 들어갑니다.

인포스틸러-랜섬웨어 파이프라인

인포스틸러와  랜섬웨어 간의 연결은 여러 독립 소스에서 잘 문서화되어 있습니다. 인포스틸러는 2단계 공격 체인의 첫 번째 단계 역할을 합니다. SANS Institute는 랜섬웨어 위협 행위자가 "일반적으로 인포스틸러 악성코드를 통해 탈취된 자격 증명을 통해 침투하며, 초기 접근 브로커가 인포스틸러 운영자와 랜섬웨어 그룹 간 중개자 역할을 한다"고 문서화합니다.

인포스틸러 감염과 랜섬웨어 배포 사이의 운영 간극은 상당한 기간에 걸칠 수 있으며, 그 사이 수평 이동이 비가시적으로 진행됩니다. 인포스틸러 탐지를 저위험 엔드포인트 이벤트로 간주하는 것은 치명적인 실수입니다. 모든 인포스틸러 탐지는 랜섬웨어 전조 프로토콜, 즉 전체 자격 증명 범위 평가, 수평 이동 탐지, 사전 구축된 격리 플레이북 실행을 촉발해야 합니다.

이러한 프로토콜을 효과적으로 실행하려면, 인포스틸러가 기존 보안 도구로 탐지하기 어려운 이유를 이해해야 합니다.

인포스틸러가 기존 방어를 우회하는 이유

인포스틸러는 다른 악성코드 범주보다 방어가 어려운 특정 구조적 과제를 제시합니다.

• 암호화된 탈취는 정상 트래픽과 구분되지 않습니다. 탈취된 데이터는 HTTPS를 통해 합법적 클라우드 서비스로 이동합니다. 일부 변종은 대용량 단일 파일 전송에 대응하는 DLP 도구를 우회하기 위해 아카이브를 청크로 분할합니다. 네트워크 보안 스택은 정상 암호화 웹 트래픽으로 인식합니다.
• 짧은 실행 시간은 포렌식 증거를 거의 남기지 않습니다. 비지속적 인포스틸러는 디스크에 거의 아무것도 영구적으로 기록하지 않습니다. 메모리 아티팩트는 덮어써집니다. 엔드포인트 아티팩트 대신 네트워크 텔레메트리와 자격 증명 사용 로그만 남으며, 악성코드는 팀이 인지하기 전에 스스로 삭제됩니다.
• 자격 증명 API 후킹은 정상 프로세스 내에서 자격 증명을 가로챕니다. MITRE ATT&CK T1056.001은 정상 프로세스 컨텍스트 내에서 자격 증명을 가로채는 자격 증명 API 후킹을 문서화하며, 이로 인해 악성 행위와 정상 애플리케이션 동작을 프로세스 수준에서 구분하기 어렵게 만듭니다.
• BYOD 블라인드 스팟은 구조적입니다.  Verizon DBIR은 인포스틸러 로그에 기업 로그인 정보가 포함된 많은 시스템이 관리되지 않는 장치였음을 지적합니다. Snowflake 침해 사례는 이를 직접적으로 보여줍니다. SANS 연구는 외주업체 개인 노트북에 백신이나 EDR이 없었고, 불법 소프트웨어 실행 등 개인 용도로 사용되었음을 확인했습니다.

이러한 우회 이점으로 인해 인포스틸러 감염 탐지는 종종 악성코드 자체가 아닌 그 효과를 포착하는 데 의존합니다.

인포스틸러 감염 탐지 방법

인포스틸러는 빠르게 실행 후 종료되도록 설계되어 있으므로, 감염 탐지는 악성코드 자체를 포착하기보다는 자격 증명 탈취의 하위 효과를 인지하는 데 달려 있습니다. 팀이 모니터링해야 할 지표는 다음과 같습니다:

• 기업 자격 증명의 다크웹 마켓 노출. 스틸러 로그는 탈취 후 수 시간 내 Russian Market 등에서 유통됩니다. 기업 이메일 및 도메인 자격 증명 노출을 지속적으로 모니터링하면 인포스틸러에 의해 사용자가 침해당했음을 가장 빠르게 경고받을 수 있습니다.
• SaaS 및 클라우드 애플리케이션에서의 비정상 세션 활동. 예상치 못한 지리 위치, 새로운 디바이스 지문, 서로 다른 지역에서의 동시 세션 로그인은 탈취된 세션 토큰이 재생되고 있음을 나타냅니다.  아이덴티티 텔레메트리와 엔드포인트 데이터를 연계하면 정상 출장을 토큰 재생과 구분할 수 있습니다.
• 비정상 플래그로 실행되는 브라우저 프로세스. 인포스틸러는 원격 디버깅 포트 또는 헤드리스 모드를 사용해 브라우저 프로세스를 후킹합니다. --remote-debugging-port 또는 --headless flags로 브라우저가 비표준 부모 프로세스에서 실행될 때 경고를 구성하면 신뢰할 수 있는 지표가 됩니다.
• Telegram API 또는 클라우드 저장소로의 비정상 아웃바운드 연결. api.telegram.org, Dropbox, GitHub로의 탈취는 해당 서비스를 평소 사용하지 않는 엔드포인트에서 발생할 경우 강력한 행위 기반 지표입니다. 아카이브 생성 또는 데이터 스테이징 활동과 결합될 때 더욱 신뢰도가 높아집니다.
• EDR 텔레메트리에서의 자격 증명 접근 패턴. MITRE ATT&CK T1555.003 (웹 브라우저에서 자격 증명) 및  T1539 (웹 세션 쿠키 탈취)는 브라우저 외부 프로세스가 자격 증명 데이터베이스나 쿠키 저장소에 접근할 때 식별 가능한 텔레메트리를 생성합니다.

조기 식별은 이러한 신호를 엔드포인트, 아이덴티티, 네트워크 계층에서 연계하는 데 달려 있으며, 단일 지표에만 의존해서는 안 됩니다.

인포스틸러 방어 시 흔히 저지르는 실수

성숙한 보안 프로그램을 갖춘 조직도 인포스틸러 사고 대응 시 피할 수 있는 실수를 저지릅니다.

• 인포스틸러 탐지를 단일 엔드포인트 사고로 간주. 감염을 발견했을 때는 이미 탈취된 자격 증명이 별도의 접근 브로커 손에 있을 수 있습니다. 자격 증명 무효화 및  수평 이동 탐지를 생략한 엔드포인트 복구는 후속 공격 경로를 완전히 열어둡니다.
• 비밀번호 교체만으로 대응. 비밀번호 변경은 활성 세션 토큰을 무효화하지 않습니다. 인포스틸러가 인증된 쿠키를 탈취했다면, 공격자는 새 비밀번호와 무관하게 여전히 유효한 세션을 보유합니다. 모든 영향 계정에 대해 활성 세션 무효화가 필요합니다.
• 다크웹 자격 증명 모니터링 무시. 탈취된 자격 증명은 탈취 직후 Russian Market 등에서 유통됩니다. 노출된 기업 자격 증명을 모니터링하지 않으면, 탈취와 후속 공격 사이의 대응 기회를 잃게 됩니다.
• 브라우저를 주요 공격 표면으로 간과. CISA 권고는 Raccoon Stealer와 Vidar가 브라우저에서 로그인 자격 증명, 방문 기록, 쿠키를 직접 탈취하는 것을 문서화합니다. 브라우저는 주요 자격 증명 저장소이자 클라우드 애플리케이션의 세션 토큰 저장소이지만, 대부분의 기업은 브라우저 계층 텔레메트리를 수집하지 않습니다.
• 외주업체 및 개발자 장치에 대한 EDR 적용 누락. 개발자 워크스테이션은 프로덕션 비밀, 배포 자격 증명, 코드 서명 인프라에 접근할 수 있지만, 프로덕션 서버보다 모니터링이 덜 이루어집니다. 이러한 환경까지 엔드포인트 커버리지를 확장하면 가장 많이 악용되는 취약점을 차단할 수 있습니다.

이러한 실수를 피하는 것은 필요조건일 뿐 충분조건은 아닙니다. 구조화된 방어 전략은 인포스틸러 킬체인 전체를 다루어야 합니다.

인포스틸러 방어를 위한 모범 사례

계층화된 방어 전략은 인포스틸러 킬체인의 여러 단계를 아우릅니다. 초기 접근부터 탈취까지 다음과 같은 조치가 필요합니다.

1. 피싱 저항 인증 배포. FIDO2/패스키 구현은 서비스별로 고유한 암호화 자격 증명을 생성하며, 개인 키는 사용자 장치를 벗어나지 않습니다.  패스워드리스 인증에서 설명하듯, 하나의 서비스가 침해되어도 공유 비밀번호 비밀이 없으므로 다른 곳에서 사용할 수 있는 자격 증명이 없습니다. 프로덕션 시스템 접근 권한이 있는 특권 계정부터 우선 적용하십시오.
2. 브라우저 자격 증명 저장 비활성화. 그룹 정책 또는 MDM을 통한 엔터프라이즈 브라우저 관리 정책으로 브라우저의 비밀번호 저장을 차단하십시오. 하드웨어 기반 암호화를 지원하는 엔터프라이즈 비밀번호 관리자 사용을 강제하십시오. 원격 디버깅 플래그(--remote-debugging-port)로 브라우저가 실행될 때 경고를 구성하십시오. 이는 인포스틸러가 브라우저 프로세스를 후킹하는 데 사용하는 기법입니다.
3. 행위 기반 AI 엔드포인트 보호 배포. macOS 악성코드 연구는 "동적 분석을 사용하는 보안 솔루션이 더 나은 성공률을 보인다"고 명시합니다. 인포스틸러는 전달 난독화와 무관하게 결국 평문으로 디코드 및 실행되어야 하기 때문입니다. 정적 시그니처는 암호화 및 다형성 페이로드에 실패합니다.
4. 사고 전 자격 증명 교체 플레이북 구축 및 테스트. 임시 대응이 아닌, 중요 시스템 중단 없이 교체 순서를 사전에 정의하십시오. 사고 압박 하에서의 임기응변 교체는 항상 너무 느립니다. 플레이북에는 네트워크 격리, 감염 타임라인 파악, 접근 가능한 모든 자격 증명 교체, 활성 세션 무효화, 전체 체류 기간 동안의 접근 로그 검토가 포함되어야 합니다.
5. 고위험 경로에서의 프로세스 실행 제한. 애플리케이션 제어 정책(WDAC, AppLocker, macOS MDM 프로필 등)으로 Downloads, Temp, User Profile 디렉터리에서 서명되지 않은 실행 파일을 차단하십시오. 이러한 제어를 개발자 워크스테이션 및 CI 러너까지 확장하십시오.

이러한 실천은 공격 표면을 줄이지만, 예방을 우회하는 인포스틸러를 차단하려면 엔드포인트, 아이덴티티, 네트워크 텔레메트리를 실시간으로 연계하는 플랫폼이 필요합니다.

핵심 요약

인포스틸러는 조용히 동작하며, 비밀번호와 세션 토큰을 신속하게 탈취해 랜섬웨어, 계정 탈취, 금융 사기를 뒷받침하는 범죄 경제로 유입되는 자격 증명 탈취 악성코드입니다. MFA만으로는 세션 토큰 탈취를 막을 수 없습니다. 브라우저 자격 증명 저장소가 주요 표적입니다. 

모든 인포스틸러 탐지는 자격 증명 무효화, 수평 이동 탐지, 랜섬웨어 전조 프로토콜을 요구합니다. 행위 기반  AI 보호, 아이덴티티 보호, 사전 구축된 대응 플레이북이 방어의 기반을 이룹니다.