기술 가이드

FileFix 공격으로 StealC 인포스틸러 방어 가이드

7 min read 사이버보안 업데이트됨 19 Oct 2025
FileFix 공격으로 StealC 인포스틸러 방어 가이드
FileFix 공격으로 StealC 인포스틸러 방어 가이드

중요: 이 문서는 FileFix 공격의 동작 원리, 예방 조치, 감염 시 대응 절차(실행 순서 포함) 그리고 조직·개인별 체크리스트와 감사 기준을 제공합니다.

개요 — FileFix 공격이란 무엇인가

FileFix 공격은 파일 시스템 및 클립보드 행위를 악용해 운영체제의 보호 장치를 우회하는 공격 기법입니다. 최근 변종은 사용자를 사회공학(피싱)으로 유도해 특정 경로를 복사하도록 만든 뒤, 그 경로에 숨겨진 페이로드를 실행하도록 유도합니다. 이 변종은 PowerShell을 통해 이미지를 다운로드하고 이미지 내부에 숨겨진 스크립트를 디코딩해 메모리 상에서 인포스틸러인 StealC를 실행합니다.

정의: 인포스틸러는 브라우저 쿠키, 저장된 자격증명, 암호화 지갑 정보 등을 탈취하는 악성 프로그램입니다.

공격 흐름: 단계별 동작 방식

아래는 실제 관찰된 공격의 단계별 흐름입니다.

  • 공격자는 페이스북 계정 정지 통지 등 신뢰할 만한 메시지로 구성된 피싱 페이지로 피해자를 유도합니다.
  • 피해자는 페이지의 지시에 따라 파일 탐색기(File Explorer)에 붙여넣을 경로를 복사합니다. 복사된 텍스트는 표면상 정상 경로처럼 보이지만 경로 뒤에 대량의 공백과 숨겨진 페이로드가 포함되어 있습니다.

빨간 오류 화면 옆의 후드 쓴 그림자 인물

Facebook 계정 정지 알림을 가장한 가짜 페이지

  • 사용자가 붙여넣고 경로를 실행하면 PowerShell 명령이 호출되어 피싱 서버 또는 중간 저장소에서 이미지 파일을 다운로드합니다. 이 이미지 파일에는 사람이 보기에는 정상 이미지로 보이지만, 내부에 인코딩된 스크립트가 포함됩니다.
  • PowerShell은 이미지 내부의 숨은 데이터를 디코딩한 뒤 메모리 상에서 최종 페이로드(예: StealC)를 로드합니다. 이때 디스크에 흔적을 남기지 않으므로 전통적인 파일 기반 검사로는 탐지하기 어렵습니다.

Microsoft Defender 오프라인 검사 옵션 화면

  • StealC는 주로 브라우저 쿠키, 저장된 자격증명, 암호화 지갑 정보, 활성 애플리케이션의 스크린샷 등을 탈취하는 데 집중합니다.

Autoruns 프로그램의 자동 실행 프로세스 목록

왜 위험한가

  • 디스크 흔적 없음: 메모리에서만 실행되면 전통적 시그니처 기반 AV가 놓칠 가능성이 큽니다.
  • 사회공학 의존: 사용자의 실수(복사·붙여넣기)를 유도하므로 예방은 사용자 교육에 의해 좌우됩니다.
  • 탈취 영향: 브라우저 자격증명·지갑 정보 등 민감 정보 유출로 재무·신원 도용 피해가 발생할 수 있습니다.

예방 권장 사항 (일반 사용자와 관리자를 위한 즉시 실행 가능한 조치)

1. 복사·붙여넣기 요청을 엄격히 의심하기

  • 모르는 출처의 페이지가 ‘경로를 복사해서 붙여넣으라’고 요구하면 즉시 중지하세요. 절대 Run, CMD, 파일 탐색기 등 운영체제의 입력창에 출처 불명 텍스트를 붙여넣지 마십시오.
  • 가능하면 요청받은 입력은 직접 타이핑으로 입력하거나 URL/경로를 검증할 수 있는 안전한 채널로 재확인하세요.

참고: 겉보기에는 정상 경로라도 끝에 보이지 않는 공백 또는 제어문자가 포함될 수 있습니다.

2. PowerShell 보안 강화

권장 조치(관리자 권한 필요):

  • 실행 정책 설정: 조직 정책에 맞게 Set-ExecutionPolicy를 최소 권한으로 강제 적용하거나 서명된 스크립트만 허용하세요.
  • 제한된 언어 모드 적용: ConstrainedLanguage 모드 또는 AppLocker/WDAC(Windows Defender Application Control)를 통해 서명되지 않은 스크립트 실행을 제한합니다.
  • Audit 및 로깅 활성화: PowerShell 스크립트 블록 로깅과 모듈 로깅을 활성화해 의심스러운 실행 흔적을 수집하세요.

간단 정의: AppLocker와 WDAC는 허용된 실행 파일/스크립트만 실행되도록 정책화하는 Microsoft의 기능입니다.

3. 메모리 검사 기능이 있는 안티바이러스 사용

  • 메모리 스캔 기능(런타임 메모리 검사)을 제공하는 엔드포인트 보안 제품을 사용하세요. 이 기능은 디스크에 남지 않는 악성 코드도 탐지할 가능성을 높입니다.
  • 예: 엔드포인트 제품을 도입할 때 메모리 검사와 동적 행위 분석(행위 기반 탐지) 유무를 확인하세요.

4. 표준 사용자 계정 사용

  • 일상 작업용으로는 관리자 계정 대신 표준 사용자 계정을 사용하세요. 관리자 권한은 악성 스크립트의 영향 범위를 크게 확장시킵니다.

5. 다단계 인증과 세션 관리

  • 중요한 계정(이메일, 금융, 암호화 지갑)에 다단계 인증(MFA)을 적용하세요. 탈취된 자격증명만으로 즉시 접근을 막을 수 있습니다.
  • 세션 관리 기능이 있는 서비스에서는 의심되는 로그인 세션을 즉시 종료하고, 필요 시 활성 세션을 강제 로그아웃하세요.

감염 의심 시 즉시 실행할 단계 (정확한 순서)

  1. 네트워크 연결 차단: 유선·무선 네트워크와 VPN을 즉시 끊어 C2(명령·제어) 통신을 차단합니다.
  2. 다른 기기에서 계정 변경: 감염된 PC가 아닌 별도의 신뢰 가능한 장치에서 모든 중요 계정의 비밀번호를 변경하고 MFA를 재설정하세요.
  3. Microsoft Defender 오프라인 검사 실행: Windows 보안 → 바이러스 및 위협 방지 → 검사 옵션 → Microsoft Defender 오프라인 검사를 실행합니다. 오프라인 검사는 신뢰된 별도 환경에서 검사합니다.
  4. 자동 시작 및 실행 프로세스 조사: Autoruns, Process Explorer 등 도구로 시작 항목과 현재 프로세스를 확인합니다. 오프라인으로 도구를 내려받아 사용하세요.
  5. 시스템 복원/초기화 고려: 탐지·제거가 불안정하면 Windows 초기화, 복원 또는 클린 설치를 통해 깨끗한 상태로 되돌리는 것이 가장 확실합니다.
  6. 법적·규제 대응: 개인 데이터 유출 가능성이 있으면 관련 법규(회사 내부 규정, 개인정보 보호법 등)에 따라 내부 보고 및 외부 통지를 준비하세요.

중요: 위 절차는 가능한 한 빠르게, 그리고 순서대로 진행해야 정보 유출 가능성을 줄일 수 있습니다.

실제 사고 대응 실행 계획(Incident Runbook)

  • 탐지 담당자(Level 1): 사용자 신고 접수 → 네트워크 차단 권고 및 원격 접속 비활성화 → 격리 조치 로그 기록.
  • 조사 담당자(Level 2): 메모리·네트워크 트래픽 수집(가능 시) → Microsoft Defender 오프라인 검사 실행 → Autoruns/Process Explorer 분석 → 의심 프로세스 스냅샷 확보.
  • 대응 담당자(Level 3): 계정 비밀번호 강제 변경·MFA 재설정 → 필요 시 시스템 이미지 백업 후 포맷 및 재설치 → 법무·보안팀에 보고.
  • 커뮤니케이션 담당자: 피해 범위, 사용자 안내 문구, 외부 공지(법적 의무가 있는 경우) 준비.

역할별 체크리스트

  • 최종 사용자

    • 출처 불분명한 페이지에서 지시된 텍스트를 붙여넣지 않기
    • 의심되는 메일·메시지 즉시 신고
    • 주기적으로 비밀번호와 MFA 상태 점검

  • IT 운영자

    • PowerShell 로깅과 실행 정책 적용
    • 엔드포인트 제품의 메모리 검사 활성화
    • 표준 사용자 계정 정책 적용

  • 사고 대응 팀

    • 네트워크 세션 로그와 방화벽 로그 확보
    • 메모리 덤프(가능 시)와 프로세스 목록 확보
    • 포렌식 절차 따라 증거 보존

수용 기준 및 테스트 케이스

  • 수용 기준(복구 완료 기준):

    • 시스템에서 의심스러운 프로세스·네트워크 연결 없음
    • AV/EDR에서 악성 항목 경고 없음
    • 계정 비밀번호 변경 및 MFA 적용 완료
    • 사용자에게 재발 방지 교육 제공

  • 테스트 케이스 예시:

    • 악성 스크립트가 포함된 파일을 샌드박스 환경에서 실행해 탐지 여부 확인
    • PowerShell 스크립트 블록 로깅 활성화 후 의심 명령 실행 로그가 수집되는지 확인
    • 메모리 검사 기능이 의심스러운 런타임 코드(쉘코드 등)를 탐지하는지 확인

대안 및 한계

  • 언제 실패하는가:

    • 사용자가 직접 타이핑한 명령을 입력하거나, 정식 서명된 유틸리티를 통한 공격은 우회될 수 있습니다.
    • 오프라인 검사 이전에 이미 탈취가 완료되어 계정·자산 피해가 발생한 경우 실질적 손해는 복구가 어려울 수 있습니다.

  • 대체 방어 방법:

    • 네트워크 레벨의 비정상 트래픽 탐지(NDR) 도입
    • 브라우저 격리 기술(Browser Isolation)으로 멀웹 공격 노출 최소화
    • 이메일·메시지 필터링과 링크 검사 강화

보안 하드닝 체크리스트(권장 설정)

  • PowerShell: 스크립트 서명 요구, 스크립트 블록 로깅 활성화
  • AppLocker/WDAC: 허용된 앱·스크립트만 실행
  • EDR/AV: 메모리 검사와 행위 기반 탐지 활성화
  • 계정관리: 정기 비밀번호 변경 정책, 관리자 계정 최소화, LAPS(로컬 관리자 비밀번호 솔루션) 적용
  • 백업: 정기적 오프라인 백업 유지

개인·조직별 개인정보 보호 및 규제 고려사항

  • 개인의 경우: 주요 계정(은행·이메일·거래소)의 비밀번호와 MFA를 즉시 변경하십시오.
  • 조직의 경우: 개인정보 유출 또는 금전 손실 가능성이 있는 경우 관련 법률에 따른 내부·외부 통지 의무를 검토하고 법무팀과 협의하세요.

실행 예시 템플릿: 사용자 안내 메시지

(사건 접수 시 내부 직원에게 보낼 예시 안내문)

안내: 최근 의심스러운 피싱 페이지로 인해 일부 사용자가 악성 코드에 노출되었을 가능성이 있어 긴급 조치가 필요합니다. 즉시 네트워크 연결을 끊고 보안 담당자에게 연락해 주세요. 다른 장치에서 계정 비밀번호를 변경하고 MFA를 재설정하십시오.

정신 모델과 의사결정 규칙

  • 기본 가정: 사용자는 실수할 수 있으므로 시스템은 최소 권한 원칙으로 설계되어야 합니다.
  • 빠른 판단 규칙: 요청이 ‘붙여넣기’ 또는 ‘복사 후 실행’과 관련되면 99% 거부하고 보안팀에 확인합니다.

요약

  • FileFix 변종은 클립보드·파일 경로 조작과 PowerShell을 결합해 메모리 상에서 StealC를 실행합니다.
  • 예방은 사용자 교육, PowerShell 정책 강화, 메모리 검사 기능을 갖춘 엔드포인트 보안, 표준 계정 사용으로 요약됩니다.
  • 감염 시에는 즉시 네트워크 차단 → 다른 장치에서 비밀번호 변경 → 오프라인 검사 → 프로세스 조사 → 필요 시 Windows 초기화 순으로 대응하세요.

참고: 이 가이드는 실무에서 바로 적용 가능한 조치와 사고 대응 절차를 제시합니다. 의심스러운 정황이 발견되면 보안팀 또는 전문 포렌식 대응팀과 협력해 추가 조사를 권장합니다.

공유하기: X/Twitter Facebook LinkedIn Telegram
저자
편집

유사한 자료

노트북 무단 변조 방지 실전 가이드
보안

노트북 무단 변조 방지 실전 가이드

Enpass for Linux 설치·설정 가이드
가이드

Enpass for Linux 설치·설정 가이드

iOS 26 잠금화면 완벽 가이드
iOS 가이드

iOS 26 잠금화면 완벽 가이드

Android·iOS 통화 녹음 가이드
가이드

Android·iOS 통화 녹음 가이드

Anikoto 안전성·합법성 가이드
스트리밍

Anikoto 안전성·합법성 가이드

RatOn 안드로이드 악성코드 분석 및 방어 가이드
사이버보안

RatOn 안드로이드 악성코드 분석 및 방어 가이드