정보 탈취 악성코드 ‘스틸C(StealC)’ 운영 패널의 보안 취약점이 발견돼, 보안 연구진이 이를 악용하는 위협 행위자의 활동 내역과 시스템 정보를 역으로 수집한 사실이 확인됐다.
미국 보안 매체 더 해커 뉴스(The Hacker News)에 따르면 사이버 보안 연구진은 스틸C 정보 탈취 악성코드를 운영하는 이들이 사용하는 웹 기반 제어 패널에서 크로스사이트 스크립팅(XSS) 취약점이 발견됐다고 밝혔다. 이 취약점으로 인해 연구진은 해당 악성코드를 사용하는 특정 위협 행위자의 운영 방식에 대한 핵심 정보를 수집할 수 있었다고 한다.
사이버아크(CyberArk) 연구원 아리 노비크(Ari Novick) 연구원은 지난주 공개한 보고서에서 “이 취약점을 악용해 시스템 지문을 수집하고, 활성 세션을 모니터링했으며, 아이러니하게도 쿠키를 훔치도록 설계된 인프라에서 쿠키를 탈취할 수 있었다”고 밝혔다.
보도에 따르면 스틸C는 2023년 1월 처음 등장한 정보 탈취 악성코드로, 말웨어 서비스(Malware-as-a-Service, MaaS) 모델을 기반으로 유포되고 있다. 이 말웨어는 ‘유튜브 고스트 네트워크(YouTube Ghost Network)’라고 불리는 방식으로, 잠재 고객이 유튜브를 주요 유포 수단으로 활용해 인기 소프트웨어의 크랙 파일로 위장해 악성 프로그램을 배포할 수 있도록 한다.
지난해 동안 스틸C는 블렌더 재단(Blender Foundation) 관련 파일을 사칭한 악성 파일과, ‘파일픽스(FileFix)’로 불리는 사회공학 기법을 통해서도 유포된 것으로 관찰됐다. 이와 동시에 스틸C는 텔레그램(Telegram) 봇을 연동해 알림을 전송하고, 페이로드 전달 기능을 강화하며, 제어 패널을 재설계하는 업데이트를 진행했다. 업데이트된 버전은 ‘스틸C V2(StealC V2)’라는 코드네임이 붙었다.
이후 수 주 만에 스틸C 관리 패널의 소스코드가 유출되면서, 연구 커뮤니티는 이를 분석해 위협 행위자 컴퓨터의 대략적인 위치 정보와 하드웨어 세부 정보 등을 파악할 수 있는 기회를 얻게 됐다. 또한 이들은 위협 행위자들의 기기에서 활성 세션 쿠키를 직접 회수할 수 있었다.
더 해커 뉴스에 따르면 연구진은 스틸C 패널의 XSS 취약점에 대한 구체적인 기술 세부 내용은 공개하지 않았다. 이는 스틸C 개발자들이 해당 취약점을 수정하는 것을 막고, 동시에 유출된 패널 코드를 활용해 새로운 정보 탈취 말웨어 서비스 운영을 시도할 수 있는 모방 공격을 방지하기 위한 조치라고 설명했다.
일반적으로 XSS 취약점은 클라이언트 측 인젝션 취약점의 일종으로, 공격자가 취약한 웹사이트에 악성 자바스크립트(JavaScript) 코드를 삽입해 피해자의 브라우저에서 해당 코드를 실행되도록 만드는 문제다. 이는 사용자 입력값을 검증하지 않거나 적절히 인코딩하지 않을 때 발생하며, 공격자가 쿠키를 훔치고, 사용자를 사칭하며, 민감한 정보에 접근할 수 있게 만든다.
노비크 연구원은 “스틸C 그룹의 핵심 사업이 쿠키 탈취인 점을 고려하면, 스틸C 개발자들이 쿠키 보안에 정통해 httpOnly와 같은 기본적인 쿠키 보안 기능을 구현해 XSS를 통한 쿠키 탈취를 막을 것이라 기대할 수 있다”고 밝혔다. 그는 이어 “대규모 쿠키 탈취를 기반으로 한 운영이 정작 교과서적인 공격으로부터 자체 세션 쿠키를 보호하지 못했다는 점이 아이러니”라고 지적했다.
사이버아크는 또 ‘유튜브TA(YouTubeTA, YouTube Threat Actor의 약칭)’로 불리는 스틸C 고객 사례도 공개했다. 이 위협 행위자는 구글의 동영상 플랫폼 유튜브를 집중적으로 활용해, 어도비 포토샵(Adobe Photoshop)과 어도비 애프터 이펙츠(Adobe After Effects)의 크랙 버전을 광고하는 방식으로 스틸C를 유포했다고 한다.
보도에 따르면 유튜브TA는 이 같은 활동을 통해 5,000개 이상의 로그를 축적했으며, 그 안에는 39만 개의 탈취된 비밀번호와 3,000만 개가 넘는 탈취 쿠키가 포함돼 있었다. 사이버아크는 이 가운데 상당수 쿠키가 추적용 쿠키 등 민감도가 낮은 쿠키로 평가된다고 전했다.
연구진은 유튜브TA의 활동이 합법적인 유튜브 계정을 탈취해, 이를 다시 크랙 소프트웨어 홍보에 활용하는 방식으로 이어졌을 가능성이 있다고 밝혔다. 이로 인해 악성코드가 자체적으로 확산되는 ‘자기 증식적’ 유포 구조가 만들어졌을 수 있다는 설명이다.
또한 유튜브 외 경로를 통한 감염 정황도 포착됐다. 연구진은 클릭픽스(ClickFix)와 유사한 가짜 캡차(CAPTCHA) 화면을 이용해 스틸C를 배포한 증거를 확인했으며, 이를 통해 스틸C 유포가 유튜브 기반 감염에 한정되지 않는 것으로 분석했다.
추가 분석 결과 스틸C 패널은 운영자가 다수의 사용자를 생성하고, 관리자 계정과 일반 사용자 계정을 구분해 관리할 수 있도록 설계된 것으로 나타났다. 유튜브TA의 경우 패널에 단 한 명의 관리자 계정만 존재했으며, 이 계정은 애플 M3 프로세서를 기반으로 한 기기를 사용하고, 영어와 러시아어 언어 설정을 함께 사용하고 있는 것으로 파악됐다.
더 해커 뉴스는 유튜브TA가 운영 보안(OPSEC) 측면에서 중대한 실수를 범하면서 실제 위치가 드러났다고 전했다. 2025년 7월 중순경, 유튜브TA가 가상사설망(VPN)을 사용하지 않은 채 스틸C 패널에 접속하는 바람에 실제 IP 주소가 노출됐고, 이 주소는 우크라이나 통신사 ‘TRK 케이블 TV(TRK Cable TV)’와 연관된 것으로 확인됐다.
연구진은 이 같은 정황을 바탕으로 유튜브TA가 러시아어가 널리 사용되는 동유럽 국가에서 단독으로 활동하는 ‘외톨이(lone-wolf)’ 유형의 위협 행위자일 가능성이 있다고 분석했다.
이번 연구는 또 말웨어 서비스(MaaS) 생태계가 위협 행위자에게 단기간에 대규모 공격 역량을 제공하는 동시에, 합법적 기업이 겪는 것과 유사한 보안 위험에도 노출시키고 있다는 점을 부각했다. 서비스형 말웨어 개발자와 고객 모두 취약한 인프라와 패널 코드 때문에 역으로 추적과 노출 위험을 감수하게 된다는 것이다.
사이버아크는 “스틸C 개발자들은 쿠키 보안과 패널 코드 품질 모두에서 취약성을 드러냈고, 이를 통해 우리는 그들의 고객에 대한 많은 데이터를 수집할 수 있었다”고 밝혔다. 이어 “다른 말웨어 판매 위협 행위자들에게도 같은 상황이 적용된다면, 연구자와 법 집행기관이 유사한 취약점을 활용해 수많은 말웨어 운영자의 내막을 파악하고, 어쩌면 그 신원을 드러낼 수도 있다”고 전했다.
헬로티 |
