이 악성코드 캠페인은 언제 시작되었나요?

이 악성코드 캠페인은 2025년 6월부터 활동해 왔습니다. 시작된 이후 이미 90개 이상의 호스트를 침해했습니다.

악성코드를 전달하는 데 사용되는 파일 유형은 무엇인가요?

악성코드는 MSI 인스톨러 파일을 통해 전달됩니다. MSI 인스톨러는 많은 합법적인 소프트웨어 공급업체가 사용하는 표준 Windows 패키지 형식입니다.

악성코드가 시스템을 감염시키면 어떤 일이 일어나나요?

악성코드는 시스템 정찰을 수행하고, 자격 증명과 2FA 코드를 캡처하는 키로거를 활성화하며, 브라우저에 저장된 비밀번호, 세션 쿠키, 자동 완성 데이터를 탈취하는 3개 모듈 키트를 배포합니다.

인스톨러 내부에 SSH 자격 증명과 GitLab 토큰을 하드코딩하는 것이 보안 위험으로 간주되는 이유는 무엇인가요?

인스톨러 파일에 삽입된 하드코딩된 자격 증명은 바이너리를 검사하는 누구에게나 읽힐 수 있으며, 이로 인해 공격자의 명령 및 제어 서버와 코드 저장소가 방어자와 수사관에게 노출될 수 있습니다.

하드웨어 지갑을 사용하는 것만으로 이 유형의 공격으로부터 보호받기에 충분한가요?

이 기사에 따르면, 하드웨어 지갑만으로는 이 캠페인에 대한 충분한 보호가 되지 않습니다. 악성코드가 직접적인 지갑 접근 없이도 인증을 우회할 수 있는 자격 증명, 세션 쿠키, 키 입력을 표적으로 삼기 때문입니다.

MSI 인스톨러 악성코드, 2025년 6월부터 암호화폐 트레이더 표적 삼아

암호화폐 트레이더를 표적으로 삼는 정교한 악성코드 캠페인이 2025년 6월부터 조용히 활동해 왔으며, 단순하지만 효과적인 수법을 사용하고 있습니다. 바로 SSH 자격 증명과 GitLab 토큰을 MSI 인스톨러 파일 내부에 직접 하드코딩하는 방식입니다. 이 작전은 이미 90개 이상의 호스트를 침해했으며, 시스템 정찰, 키로깅, 브라우저 데이터 탈취를 하나의 통합된 공격 체인으로 결합해 암호화폐 거래 계정을 장악하도록 특별히 설계되어 있습니다. 디지털 자산을 보유하거나 활발히 거래하는 사람이라면, 이 캠페인의 작동 방식을 통해 하드웨어 지갑 하나만으로는 충분한 보호가 되지 않는 이유를 알 수 있습니다.

MSI 인스톨러 캠페인의 작동 방식: 정찰, 키로깅, 브라우저 탈취

공격은 표적이 합법적인 MSI 인스톨러처럼 보이는 파일을 실행하면서 시작됩니다. MSI 인스톨러는 수많은 소프트웨어 공급업체가 사용하는 표준 Windows 패키지 형식입니다. 실행되는 순간 인스톨러는 순차적으로 작동하는 3개의 모듈로 구성된 악성코드 키트를 배포합니다.

첫 번째 모듈은 시스템 정찰을 수행하며, 감염된 호스트의 구성, 네트워크 환경, 설치된 소프트웨어를 파악합니다. 이 단계는 공격자가 더 깊은 침투를 시도하기 전에 대상의 전체적인 상황을 파악할 수 있게 해줍니다. 두 번째 모듈은 키로거를 활성화해 피해자가 입력하는 모든 것을 캡처합니다. 여기에는 거래소 로그인 자격 증명, 이중 인증 코드, 지갑 패스프레이즈가 포함됩니다. 세 번째 모듈은 브라우저에 저장된 데이터를 표적으로 삼아 저장된 비밀번호, 세션 쿠키, 자동 완성 항목을 추출합니다. 이는 계정 비밀번호 없이도 금융 플랫폼의 인증을 우회하는 데 활용될 수 있습니다.

이 조합은 의도적입니다. 키로깅은 이동 중인 자격 증명을 캡처하고, 브라우저 탈취는 저장된 자격 증명을 캡처합니다. 이 둘이 합쳐지면 허점이 거의 남지 않습니다.

하드코딩된 자격 증명이 시스템적 위험인 이유

이 캠페인이 보안 연구 관점에서 특히 주목받는 이유는 피해자에게 미치는 영향뿐만 아니라, 공격자 자신에 대해 드러내는 정보 때문이기도 합니다. 인스톨러 내부에 하드코딩된 SSH 자격 증명과 GitLab 토큰을 삽입했다는 것은, 악성코드가 자체 백엔드 인프라로 직접 연결되는 정적 링크를 내포하고 있다는 의미입니다.

이는 공격자 측의 작전 보안 실패이며, 이 그룹에만 국한된 문제도 아닙니다. 합법적인 소프트웨어를 개발하든 악의적인 도구를 개발하든, 컴파일되거나 패키징된 파일에 인증 토큰을 하드코딩하면 해당 자격 증명은 바이너리를 검사하는 누구에게나 읽힐 수 있게 됩니다. 방어자 입장에서는 악성코드 내 하드코딩된 자격 증명이 명령 및 제어 서버, 코드 저장소, 심지어 위협 행위자의 내부 개발 워크플로우까지 노출시킬 수 있습니다. 피해자 입장에서는 수사관이 공격자를 추적하는 데 도움이 될 수 있는 동일한 결함이 이미 침해가 발생한 이후에는 아무런 보호도 제공하지 않습니다.

이 패턴은 클라우드를 표적으로 삼는 악성코드의 광범위한 트렌드를 반영합니다. 클라우드 자격 증명을 탈취하는 PCPJack 악성코드 관련 보도에서 다루었듯이, 자격 증명 탈취 프레임워크는 부적절하게 보호된 토큰을 손쉬운 먹잇감으로 취급하는 경향이 갈수록 강해지고 있습니다. 이 경우에는 피해자의 토큰뿐만 아니라 공격자 자신의 토큰도 마찬가지입니다.

누가 표적이 되고 있으며 암호화폐 트레이더가 선별되는 이유

이 캠페인이 암호화폐 트레이더에 집중하는 것은 우연이 아닙니다. 암호화폐 계정은 유독 매력적인 표적 프로파일을 갖고 있습니다. 상당한 유동 가치를 보유하는 경우가 많고, 블록체인에 브로드캐스트되면 거래를 되돌릴 수 없으며, 많은 트레이더가 브라우저 기반 인터페이스를 사용해 여러 거래소에서 동시에 포지션을 관리하기 때문입니다.

마지막 요소가 핵심입니다. 브라우저 기반 거래는 브라우저에 저장된 세션, 쿠키, 저장된 자격 증명이 계정 접근의 직접적인 경로가 된다는 것을 의미합니다. 브라우저에서 유효한 세션 쿠키를 탈취한 공격자는 종종 비밀번호나 이중 인증 없이도 거래소에 인증할 수 있습니다. 세션 자체가 이미 인증된 상태이기 때문입니다. 키로거 구성 요소는 트레이더가 로그아웃했다가 다시 로그인하는 시나리오도 처리하여 새로운 자격 증명을 실시간으로 캡처합니다.

이미 90개 이상의 호스트가 침해된 것으로 확인된 만큼, 이 캠페인의 규모는 무차별적인 접근 방식이 아닌 표적화되고 지속적인 작전임을 시사합니다. 2025년 6월 이후 비공식 또는 검증되지 않은 출처에서 소프트웨어를 다운로드한 트레이더들이 가장 큰 위험에 처해 있습니다.

VPN, 자격 증명 관리자, 브라우저 위생 관리가 공격 노출을 줄이는 방법

이 캠페인이 나타내는 위험을 완전히 제거하는 단일 도구는 없지만, 몇 가지 실천 방법이 노출을 의미 있게 줄여줍니다.

VPN은 악성코드가 이미 기기에 설치된 이후의 실행을 막지는 못하지만, 트래픽 가로채기의 위험을 줄이고 공격자가 정찰 단계에서 얻는 네트워크 수준의 가시성을 제한할 수 있습니다. 더 중요한 것은, 모든 기기에서 VPN을 일관되게 사용하면 네트워크 위생을 사후 대책이 아닌 습관으로 정착시키는 데 도움이 된다는 점입니다.

자격 증명 관리자는 이 공격의 핵심 벡터 중 하나인 브라우저에 저장된 비밀번호를 해결합니다. 자격 증명이 브라우저 기본 비밀번호 저장소가 아닌 전용 암호화된 관리자에 저장되면, 브라우저 데이터 탈취로 얻을 수 있는 유용한 정보가 크게 줄어듭니다. 대부분의 자격 증명 관리자는 모든 계정에 대해 고유하고 복잡한 비밀번호를 생성하는 기능도 지원하며, 이는 한 세트의 자격 증명이 탈취되더라도 피해 범위를 제한합니다.

브라우저 위생 관리도 중요합니다. 트레이더는 거래소 접근 전용으로 별도의 브라우저 프로파일, 또는 완전히 분리된 브라우저를 사용하는 것을 고려해야 합니다. 해당 프로파일에는 저장된 비밀번호가 없어야 하고, 꼭 필요한 확장 프로그램 외에는 설치하지 않아야 하며, 각 세션 후 쿠키를 삭제해야 합니다. 더 이상 존재하지 않는 세션의 쿠키는 탈취될 수 없습니다.

마지막으로, 소프트웨어 설치 규율이 첫 번째 방어선입니다. 공식 공급업체 사이트나 앱 스토어 외부에서 획득한 MSI 파일은 실질적인 위험을 수반합니다. 파일 해시를 확인하고, 게시자 서명을 검사하고, 보안 소프트웨어를 비활성화하도록 요구하는 인스톨러를 즉각적인 위험 신호로 취급하면 모든 것을 가능하게 만드는 최초 실행을 방지할 수 있습니다.

여러분이 취해야 할 조치

암호화폐를 활발히 거래하거나 브라우저 기반 인터페이스를 통해 접근 가능한 디지털 자산을 보유하고 있다면, 이 캠페인은 직접적인 경고입니다. 하드웨어 지갑은 온체인 자금을 보호하지만, 거래소 계정은 보호하지 못합니다. 그리고 이 악성코드가 피해를 입히도록 설계된 곳이 바로 거래소 계정입니다.

먼저 현재 자격 증명이 어디에 저장되어 있는지 점검하는 것부터 시작하세요. 거래소 비밀번호가 브라우저에 저장되어 있다면 전용 자격 증명 관리자로 옮기고 각 플랫폼에 대해 새롭고 고유한 비밀번호를 생성하세요. 브라우저 확장 프로그램을 검토하고 적극적으로 사용하지 않는 것은 모두 제거하세요. 2025년 6월 이후 검증할 수 없는 출처에서 획득한 MSI 인스톨러가 있는지 다운로드 기록을 확인하세요.

여기서 설명한 하드코딩된 토큰 캠페인부터 클라우드 표적 프레임워크에서 문서화된 다중 CVE 악용에 이르기까지, 자격 증명 탈취 작전의 정교함이 갈수록 높아지는 상황에서 선제적인 자격 증명 위생 관리는 개인 사용자가 활용할 수 있는 가장 효과적인 방어 수단 중 하나입니다. 오늘 한 시간을 투자해 자신의 설정을 점검하는 것이 내일 계정 탈취로부터 회복하는 것보다 훨씬 덜 고통스럽습니다.