1. 계정 정보 중심의 신종 위협, 인포스틸러(InfoStealer)의 개요
정의: 감염된 시스템에서 웹 브라우저 저장 계정, 쿠키, 암호화폐 지갑 주소, 시스템 정보 등 민감 자산을 탈취하여 공격자의 서버로 전송하는 특수 목적형 악성코드.
부각 배경: 다크웹 내 로그 마켓(Log Market) 활성화, MaaS(Malware-as-a-Service) 형태의 유포 확산으로 인해 기업의 내부망 침투를 위한 초기 침투 경로(Initial Access)로 악용됨.
2. 인포스틸러의 주요 공격 절차 (Attack Lifecycle)
공격자는 탐지를 회피하며 자격 증명을 확보하는 데 집중합니다.
유포 및 침투 (Delivery): 피싱 메일, 크랙 소프트웨어(Adware), 불법 콘텐츠 다운로드 사이트를 통해 사용자 실행 유도.
악성코드 실행 및 은닉 (Execution & Stealth): 시스템 진입 후 백신 탐지 회피를 위해 메모리 상주(Fileless) 또는 정상 프로세스 인젝션 수행.
데이터 수집 및 추출 (Collection):
브라우저 데이터: 저장된 ID/PW, 자동 완성 데이터, 세션 쿠키 탈취.
시스템 자산: 암호화폐 지갑 파일, FTP/VPN 설정 정보, 스크린샷 등.
C&C 서버 전송 (Exfiltration): 수집된 정보를 압축/암호화하여 HTTP/HTTPS 또는 텔레그램 API 등을 통해 외부 서버로 전송.
다크웹 거래 및 2차 공격: 탈취된 로그 정보를 판매하거나, 이를 이용해 기업 내부망 침투(Ransomware 등) 수행.
3. 정보보안담당자 관점의 단계별 대응 방안
보안 담당자는 **'예방 - 탐지 - 대응'**의 계층적 방어 체계(Defense in Depth)를 구축해야 합니다.
가. 기술적 대응 방안
| 구분 | 대응 활동 내용 | 상세 방안 |
| 단말 보안 (EDR) | 행위 기반 탐지 강화 | 알려지지 않은 악성코드의 비정상적인 파일 접근 및 네트워크 통신 차단 |
| 인증 보안 | 다요소 인증(MFA) 의무화 | 계정 유출 시에도 추가 인증(OTP, 생체인식)을 통해 2차 피해 방지 |
| 네트워크 | C&C 통신 차단 | 위협 인텔리전스(TI) 연동을 통해 악성 도메인/IP로의 아웃바운드 트래픽 차단 |
| 데이터 보호 | 브라우저 저장 금지 | 그룹 정책(GPO)을 통해 공무/업무용 브라우저 내 비밀번호 저장 기능 비활성화 |
나. 관리적 및 제도적 대응 방안
임직원 보안 인식 제고: 정기적인 피싱 메일 모의 훈련 및 불법 소프트웨어 설치 금지 교육 실시.
다크웹 모니터링: 전문 보안 서비스를 활용하여 우리 기관의 유출된 계정 정보가 로깅 마켓에 게시되었는지 실시간 감시.
세션 관리 강화: 웹 서비스의 세션 유효 기간을 단축하고, 접속 IP 변경 시 재인증을 요구하는 세션 바인딩 적용.
4. 인포스틸러 대응의 핵심 지표 및 도구
| 분석 도구 / 지표 | 설명 |
| YARA Rule | 인포스틸러 특유의 코드 패턴을 식별하기 위한 맞춤형 룰 작성 및 적용 |
| MITRE ATT&CK | T1555(Credentials from Password Stores) 등 관련 전술 및 기술 매핑 분석 |
| SIEM / SOAR | 다수의 엔드포인트에서 발생하는 이상 징후를 통합 분석하고 자동 대응 |
5. 기술사적 제언: Zero Trust 아키텍처로의 전환
자격 증명 너머의 보안: 인포스틸러는 정당한 계정 정보를 탈취하므로, '한 번 인증된 세션은 안전하다'는 신뢰를 버리고 지속적인 검증(Continuous Verification) 체계를 도입해야 함.
쿠키 탈취 대응: 단순 ID/PW 보호를 넘어 **세션 쿠키 탈취(Session Hijacking)**에 대비한 토큰 보안 및 지문 인식 기반 세션 관리가 차세대 보안의 핵심임.
결언: 인포스틸러는 기업 보안의 '가장 약한 고리'인 사용자를 공략함. 보안 담당자는 기술적 통제와 더불어 인간 중심의 보안 거버넌스를 강화하여 침투 발생 시 피해를 최소화하는 회복 탄력성(Resilience) 확보에 집중해야 함.
댓글 없음:
댓글 쓰기