StealC 악성코드와 진화하는 스텔스 공격

안녕하세요. No.1 IT 솔루션 전문 기업 인스피언㈜입니다. 최근 대한민국을 떠들썩하게 만든 대형 통신사의 유심(USIM) 정보 탈취 사건이 발생하면서, 유심 정보가 2차 범죄에 악용될 수 있다는 우려가 커지고 있습니다. 이 사건은 은밀하게 시스템에 침투해 활동하는 '스텔스형 사이버 공격'에 의한 것으로 확인되었습니다. 국내 고객센터 위탁운영 전문기업이 외부 해킹 공격을 받아, 임직원 및 퇴직자 약 3만 6천 건의 개인정보가 유출되는 사고도 발생했습니다.

 

*스텔스(Stealth) 공격이란, ​"은밀하다"를 뜻하는 영어 단어로, 적군의 다양한 탐지수단에 들키지 않는 군사 기술을 사이버 공격에 대입한 용어

​

두 사건 모두 장기간 보안 탐지를 회피하며 내부 시스템 깊숙이 침투한 뒤 민감한 정보를 수집한 정교한 공격 방식이 확인되었으며, 보안 체계 전반에 대한 경각심을 다시금 불러일으키고 있습니다. StealC와 같은 스텔스형 악성코드는 시스템 내부에 장기간 은폐된 채 탐지를 피하며, 특정 시점에 서버나 인프라를 정밀하게 공격합니다. 실제로 이와 같은 공격이 국내에서도 실질적인 피해로 이어지고 있는 사례가 증가하고 있어 각별한 주의가 필요합니다.

StealC, 더욱 정교해진 정보 탈취형 악성코드

사이버 범죄 조직들 사이에서 널리 사용되고 있는 정보 탈취형 악성코드 ‘StealC’가 최근 v2.2.4 버전으로 업그레이드되며, 보안 업계에 강한 경고를 주고 있습니다. 2023년 초 다크웹에 처음 등장한 StealC는 빠르게 사이버 범죄자들의 핵심 도구로 자리 잡았으며, 최신 버전에서는 스텔스 기능과 정보 수집 능력이 한층 강화된 것으로 분석되고 있습니다.

StealC v2.2.4는 다양한 고급 탐지 회피 기술을 탑재하여 보안 솔루션으로부터의 탐지를 더욱 어렵게 만들고 있습니다. 먼저, 코드 자체를 암호화하거나 압축하여 분석을 어렵게 만드는 코드 패킹(Packing) 기법을 사용하고, 실행 중에도 내부 로직을 숨기기 위한 런타임 난독화(Obfuscation) 기술을 적용합니다. 또한 악성 행위에 필요한 시스템 API를 사전에 호출하지 않고, 실행 시점에만 동적으로 로드하는 동적 API 호출(Dynamic API Resolution) 방식을 사용하여, 탐지 가능성을 최소화합니다.

여기에 더해, 가상 머신(VM) 환경이나 디버깅 도구가 감지되면 자동으로 실행을 중단하거나 정상 애플리케이션으로 위장하는 Anti-VM 및 Anti-Debugging 기능도 포함되어 있어, 악성 행위의 분석 자체를 방해합니다. 이러한 정교한 회피 기술은 StealC가 오랜 시간 보안망을 우회하며 은밀하게 활동할 수 있도록 하는 핵심 요소입니다.

사회 기반 인프라를 노리는 지능형 공격

StealC와 같은 스텔스형 악성코드는 단순한 정보 유출을 넘어, 사회적으로 파장이 큰 인프라나 대규모 개인정보 저장소를 직접적인 공격 대상으로 삼고 있다는 점에서 매우 위협적입니다. 공격자들은 데이터를 탈취하는 데 그치지 않고, 사회 혼란이나 대규모 경제적 피해를 초래할 수 있는 핵심 시스템을 표적으로 삼고 있으며, 통신, 공공기관, 금융 등 민감한 정보를 다루는 산업군이 주요 공격 대상이 되고 있습니다.

고도화된 회피 기술을 갖춘 StealC는 시스템 내부에 장기간 잠복하며, 심각한 피해를 유발하기 전까지 보안 관리자조차 그 존재를 인식하지 못할 수 있습니다. 공격자의 TTPs(전술, 기술, 절차)에 기반한 행위 탐지 중심의 보안 전략으로 전환되어야 합니다. 여기에 위협 인텔리전스 연계 및 실시간 대응 능력을 강화하는 것이 조직의 생존을 좌우하는 중요한 요소로 부각되고 있습니다. 보안 담당자의 경각심은 물론, 위협 탐지 및 대응 역량도 그 어느 때보다 중요해졌습니다.

기사 출처: https://www.dailysecu.com/news/articleView.html?idxno=165874

StealC 악성코드 v2.2.4 등장…더 은밀하고 정교해진 정보탈취 위협 - 데일리시큐

 

https://www.epnc.co.kr/news/articleView.html?idxno=316034

통신사·콜센터 대규모 해킹사고 원인은 ‘스텔스’ 공격

 

인스피언 BizInsider SIEM의 특장점

인스피언의 통합 보안관리 솔루션 BizInsider SIEM은 보안콘텐츠 제공(CTI)를 통해 다양한 최신 보안 위협 지표를 반영한 컨텐츠 업데이트를 제공하며, KISA C-TAS 위협 IP와 고객사 TI정보 연동으로 보안 위협을 탐지하는 기능을 제공합니다.

보안 위협 모니터링 대시보드를 통해 탐지 현황과 위험도 요약 정보를 실시간으로 확인할 수 있으며, 탐지된 보안 이벤트의 타임라인 분석, 자산 영향도 분석, 위협 추적 기능을 제공합니다.

보안위협탐지룰 설정 시 Blockly 방식을 도입하여 사용자가 시나리오 분석 룰을 간단하게 설정할 수 있습니다. 소명 기능을 통해 정탐/오탐/과탐의 명확한 판단 기준을 설정할 수 있으며 단순 반복 작업을 최소화할 수 있습니다.

인시던트 분석 화면을 통해 탐지된 인시던트의 상세 정보를 제공하며, 분석 쿼리 모니터링 화면에서는 설정된 쿼리에 따라 발생하는 인시던트를 추적하고 상세 내용을 확인할 수 있는 기능을 제공합니다. 상관분석 룰 시뮬레이션(테스트) 기능을 통해 운영망 반영 전 상관분석 룰의 정탐, 오탐, 정상 설정 여부를 검증할 수 있어 안정적이고 효율적인 룰 관리를 지원합니다.

인스피언㈜ 솔루션 제품은 조달청 온라인 몰에서 구매할 수 있으며, 솔루션에 대해 더욱 자세한 설명이 필요하시다면 아래 홈페이지에서 문의해 주세요!