인포스틸러(InfoStealer)는 사용자의 민감한 정보를 탈취하는 악성코드로, 주로 다음과 같은 데이터를 목표로 합니다.
• 웹 브라우저 저장 정보 (ID/PW, 자동완성 데이터, 쿠키 등)
• 금융 정보 (신용카드 정보, 온라인 뱅킹 계정)
• 암호화폐 지갑 정보 (MetaMask, Trust Wallet 등)
• 이메일 및 메신저 계정 (Outlook, Telegram, Discord 등)
• 시스템 정보 (IP, OS 정보, 설치된 소프트웨어 등)
최근에는 로그인 세션 탈취(Session Hijacking)를 통한 2FA 우회 공격과 클라우드 서비스 계정 탈취까지 공격 범위가 확장되고 있습니다.
인포스틸러 공격 절차
① 악성코드 유포
• 피싱 이메일 : 악성 링크 또는 첨부 파일 포함
• 악성 웹사이트(드라이브 바이 다운로드) : 사용자가 특정 사이트 방문 시 자동 감염
• 불법 소프트웨어 & 크랙툴 : 트로이목마로 위장하여 배포
• 소셜 엔지니어링 : SNS 및 메시징 앱을 통해 감염 유도
② 정보 탈취 및 유출
• 브라우저 크리덴셜 수집 : Chrome, Edge, Firefox, Opera 등 주요 브라우저에서 계정 정보 및 쿠키 탈취
• 키로깅(Keylogging) : 키 입력을 감시하여 비밀번호 입력 시 탈취
• 클립보드 하이재킹(Clipboard Hijacking) : 암호화폐 지갑 주소 변경 공격
• FTP, VPN, RDP 정보 탈취 : 기업 내부 시스템 접근을 위한 계정 탈취
• 스크린샷 및 파일 탈취 : 특정 파일 형식(.txt, .docx 등)이나 스크린샷을 C2 서버로 전송
③ C2 서버로 전송
• 탈취한 데이터는 공격자의 명령제어(C2) 서버로 전송됨
• 일부 공격자는 Telegram, Discord 등 메신저 API를 사용해 데이터 유출
④ 데이터 판매 및 2차 공격
• 다크웹 마켓에서 탈취한 계정 판매
• 기업 시스템 침투 (랜섬웨어 공격 사전 작업)
• 금융 사기, 피싱, 스팸 메일 등에 악용
인포스틸러 대응방안
사전 예방 조치
1. 소프트웨어 보안 업데이트 적용
✔︎ OS, 브라우저, 보안 솔루션, 앱 등 최신 패치 유지
✔︎ 특히, 브라우저 기반 크리덴셜 탈취 취약점을 방지하기 위해 업데이트 필수
2. 이중 인증(2FA) 활성화
✔︎ Google Authenticator, OTP 등 하드웨어 기반 2FA 적용
✔︎ SMS 기반 인증은 SIM 스와핑 공격에 취약하므로 피해야 함
3. 비밀번호 관리자 사용
✔︎ 브라우저에 저장된 비밀번호는 인포스틸러가 쉽게 탈취 가능
✔︎ Bitwarden, 1Password, LastPass 등의 비밀번호 관리 솔루션 활용
4. 의심스러운 파일 및 링크 접근 금지
✔︎ 출처 불명의 이메일 및 링크 클릭 자제
✔︎ 악성 첨부파일 실행 방지를 위한 Windows SmartScreen, Defender, EDR 솔루션 활용
5. 웹 브라우저 자동 저장 기능 비활성화
✔︎ 설정에서 ID/PW 자동 저장 기능을 끄고, 비밀번호 관리자를 사용
감염 탐지 및 대응
1. EDR/XDR 솔루션 도입
✔︎ 엔드포인트 탐지 및 대응(EDR), 확장 탐지 및 대응(XDR) 솔루션을 활용하여 비정상적인 데이터 전송 탐지
2. 네트워크 트래픽 모니터링
✔︎ 설악성 C2 서버와의 통신 차단
✔︎ 설이상한 도메인/IP로의 데이터 전송 확인 (e.g., Telegram API, Discord Webhook 악용 여부 분석)
3. 악성 프로세스 및 실행 파일 탐지
✔︎ 설Task Manager, Autoruns, Process Explorer를 활용해 의심스러운 프로세스 분석
✔︎ 설%AppData%, %Temp%, %LocalAppData% 등 숨겨진 폴더에서 악성 파일 탐색
4. 브라우저 및 시스템 계정 정보 변경
✔︎ 설감염이 의심될 경우, 모든 웹사이트 및 금융 계정 비밀번호 즉시 변경
✔︎ 설브라우저 캐시 및 쿠키 삭제 후 재로그인
감염 후 조치
1. 디바이스 포맷 및 복구
✔︎ 설인포스틸러 감염 후 완전한 복구를 위해 OS 재설치 권장
✔︎ 설백업 데이터를 복원할 경우, 백업 파일에도 악성코드 감염 여부 확인 필요
2. 기업 내부 보안 점검
✔︎ 침해 지표(IOC) 분석을 통해 내부 네트워크 침투 여부 점검
✔︎ Zero Trust 보안 모델 적용하여 계정 탈취 후 2차 공격 차단
3. 다크웹 계정 유출 여부 확인
✔︎ Have I Been Pwned(https://haveibeenpwned.com/) 등을 이용하여 계정 유출 여부 확인
✔︎ 유출된 계정은 즉시 폐기 및 비밀번호 변경
'IT > 보안' 카테고리의 다른 글
| MLS와 N2SF(National Security Systems Framework) 비교 (3) | 2025.02.23 |
|---|---|
| 소프트웨어 공급망 공격 동향 및 공격방식 (1) | 2025.02.23 |
| 블록체인 기술 관련 기업들의 활용 사례 (3) | 2025.02.23 |
| 크로스 사이트 스크립트(XSS, Cross-Site Scripting) (2) | 2025.02.22 |
| CAPTCHA 정의 및 개요 (0) | 2025.02.22 |
