윈도우 디펜더 무력화하고 레지스트리에 기생하는 ‘PureLog Stealer’ 급증
법적 대응 시급성 악용해 실행 유도한 뒤 가짜 PDF 띄워 시선 돌리는 수법

[보안뉴스 김형근 기자] ‘저작권 위반’이라는 경고 메시지로 위장한 악성코드 ‘PureLog Stealer’가 급증해 각별한 주의가 요구된다. 법적 분쟁을 우려하는 실무자들의 심리를 교묘하게 파고드는 사회공학적 기법에 고도화된 파일리스(Fileless) 은폐 기술까지 결합한 악성 메일을 통해 단순 정보 유출을 넘어 기관 전체의 신뢰도를 뒤흔들고 있다.

최근 저작권 위반을 구실로 전 세계 의료 및 공공기관의 기밀을 노리는 ‘PureLog Stealer’ 악성코드 캠페인이 기승을 부리고 있다. 지난 3월부터 본격적으로 관측된 이번 캠페인은 단순한 악성코드 배포를 넘어, 사용자의 불안한 심리를 악용하는 교묘한 사회공학적 함정을 설계한 것이 특징이다.


▲PureLog Stealer의 감염 경로 [출처: 트랜드마이크로]

공격자는 ‘지적재산권 위반 문서’로 위장한 악성 실행 파일을 이메일로 전송해 파일이 실행되는 순간 화면에는 정상적인 PDF 문서를 띄워 사용자의 시선을 돌리는 기만전술을 구사한다. 이러한 공격은 엄격한 컴플라이언스를 준수해야 하는 공공·의료기관 담당자들이 법적 통보에 민감하게 반응한다는 점을 악용한 수법이다.

이번 공격의 핵심은 고도로 은폐된 ‘다단계 감염’ 구조에 있다. 해커는 실시간으로 외부 서버에서 복호화 키를 받아와 압축을 해제하는 방식으로 사후 분석 시도를 원천 차단했다.

또, 윈도우 기본 백신인 ‘윈도우 디펜더’의 맬웨어 검사 인터페이스를 우회하고 시스템이 이후 단계를 검사하지 못하도록 차단하는 기술까지 탑재했다.

침투한 악성코드는 레지스트리에 기생해 PC가 켜질 때마다 자동으로 다시 작동하며, 브라우저 계정 정보를 시작으로 피해자의 일상을 실시간으로 감시하고, 금전적 가치가 높은 암호화폐 지갑 탈취까지 진행했다. 이 악성 코드는 하드디스크에 흔적을 남기지 않는 ‘파일리스’ 기법을 사용해 일반적인 백신으로 탐지하기 어려웠다.

보안 전문가들은 기술적 방어만으로는 한계가 명확하다고 경고하며, 낯선 메일의 링크를 경계하는 인간의 의심과 더불어 시스템의 이상 행위를 추적하는 ‘행동 기반 탐지’ 방식 도입이 필요하다고 조언했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>