# 직장인 A씨는 재택근무 중에 가상사설망(VPN) 사이트에 대한 아이디와 비밀번호를 웹 브라우저에 저장해 사용했다. 웹 브라우저에서 제공하는 비밀번호 관리 기능을 사용한 것이다. 얼마 후 A씨는 계정 정보를 노리는 악성코드에 감염돼 다수의 사이트 계정과 패스워드가 유출됐다. 이 중에는 소속 직장의 VPN 계정도 포함돼 있었다. 유출된 VPN 계정은 약 3개월 후 해당 기업 내부망 해킹에 사용됐다. 감염된 악성코드 중에는 레드라인 스틸러(Redline Stealer) 계열 악성코드가 포함돼 있었다. 이 악성코드는 웹 브라우저에 저장된 계정 정보를 수집·유출하는 것으로 악명이 높다.
정보보안 기업 안랩이 공개한 최근 인포스틸러 피해 사례다. 인포스틸러는 말 그대로 사용자의 여러 정보를 빼가는 악성코드다. 인포스틸러가 위험한 또 다른 이유는 A씨의 사례처럼 웹사이트 등에서 즐겨 사용하는 ‘자동 로그인’을 기능을 노린다는 점이다.
대다수 사용자가 온라인에서 동일한 아이디와 비밀번호를 사용하는데, 인포스틸러스는 이 몇 개의 암호를 분석해 다른 사이트의 암호 등을 예상할 수 있다. 즉, 2차 피해 가능성 역시 높다는 것이다.
◆인포스틸러, 공격빈도 계속 증가…감염 수법 갈수록 교묘
인포스틸러의 공격 빈도는 계속 증가하고 있다. 안랩이 지난달 22일부터 28일까지 한 주간 발생한 악성코드를 집계한 결과 인포스틸러가 41%로 가장 많았다. 그 가운데 에이전트 테슬라가 23.7%로 가장 큰 비중을 차지했다. 이어 레드라인(12.1%), 폼북(11.6%) 순이었다.
감염 수법도 갈수록 교묘해지는 것으로 확인됐다. 안랩 관계자는 “대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O) 등으로 위장한 스팸 메일을 통해 유포된다”며 “파일명도 이와 관련된 단어 또는 문장을 사용하고, 확장자의 경우 pdf, xlsx와 같은 문서 파일로 위장하는 경우도 많다”라고 말했다.
◆크로이엄 기반 크롬·엣지 등 겨냥…입력한 모든 정보 유출하는 키로깅과는 달라
인포스틸러는 주로 크로미엄(Chromium) 기반 웹브라우저를 노리는 것으로 알려졌다. 크로미엄은 구글에서 개발해 현재 제일 많이 사용되고 있는 오픈소스 웹 브라우저 엔진이다. 대표적으로 구글의 크롬, 마이크로소프트의 엣지, 오페라소프트웨어의 오페라 등이 크로미엄을 기반으로 만들어 졌다.
크로미엄 기반 웹 브라우저는 사용자의 계정 정보, 쿠키 데이터, 방문기록, 자동 완성 등을 데이터베이스 관리 시스템인 SQ라이트(Lite) 데이터베이스 파일에 저장하는 특징이 있다.
SQLite 데이터베이스는 민감 데이터를 고급 암호화 표준(AES)에 의해 암호화된 상태로 관리한다. 크로미엄의 암호화 데이터 관리는 사용자만 해당 정보를 복호화 할 수 있도록 하며, 고급 암호화 표준키를 암호화 응용 프로그래밍 인터페이스인 데이터 프로텍션(보호) API에 의해 암호화된 형태로 보관한다.
하지만 인포스틸러 앞에서는 무용지물이다. 인포스틸러는 계정, 쿠키, 카드, 히스토리, 자동 완성 정보를 저장하고 있는 대상 데이터베이스 파일에 SQL 쿼리를 통해 필요한 데이터를 추출한다. 쿼리는 데이터베이스에서 특정한 주제어 등을 찾는데 사용되는 컴퓨터 언어다. 또 인포스틸러는 AES 키를 복호화해 암호화된 데이터를 암호화 이전으로 풀어낼 수 있다.
인포스틸러는 키보드에 입력한 모든 정보를 유출하는 키로깅과는 다른 악성코드다. 안랩 관계자는 “키로깅은 키보드에 입력한 모든 정보를 가져가지만 인포스틸러는 웹브라우저 등 특정 대상에 입력된 정보만 탈취한다”라며 “웹브라우저 등에 암호화된 정보를 유출해가는 것이 인포스틸러의 특징”이라고 말했다.
◆자동로그인, 왜 인포스틸러에 위험한가
이처럼 안랩은 자동로그인이 인포스틸러에 치명적이라고 거듭 강조한다. 앞서 설명한 것처럼 크롬 등에서 제공하는 자동 로그인 기능을 사용하면 인증과 관련된 정보는 암호화돼 저장된다.
인포스틸러가 위험한 이유는 공격자가 웹사이트나 프로그램에 저장된 로그인 정보를 모두 유출할 수 있기 때문이다. 이렇게 유출된 정보는 사용자가 방문하는 다른 웹사이트의 암호를 유추하는 데 이용되기도 한다.
또 개인 사용자 정보를 탈취하는 데 그치지 않고 이를 바탕으로 사용자가 속한 기관 등에 침투하는 데 악용될 수 있다. 유출된 개인 정보는 다크웹을 통해 거래되기도 한다. 실제로 지난해 9월 다량의 한국인 개인정보가 다크웹에서 거래되는 정황을 포착한 관계 기관이 조사에 착수하기도 했다.
피해 범위도 넓어지고 있다. 그동안 공격자는 웹브라우저에서 로그인 정보를 탈취하는데 그쳤지만 최근에는 가상화폐 지갑, 게임 등으로 공격 대상을 확대하고 있다.
이에 대해 안랩 관계자는 “공격자들도 최대한의 이익을 얻기 위해 트렌드에 맞게 공격 방식을 진화시키고 있는 것”이라고 설명했다.
전문가들은 웹사이트나 프로그램을 사용할 때 가급적 계정정보를 저장하지 말 것을 당부한다. 보안 전문가는 “인포스틸러에 감염되면 저장된 정보는 쉽게 유출된다”며 “가급적 계정정보는 저장하지 않는 것이 좋다”라고 말했다. 이어 “자동 로그인이 편리한 기능이지만 인포스틸러에 감염되면 저장된 정보는 쉽게 유출되기 때문에 사용을 최소화해야 한다”라고 강조했다.
