2025년 09월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2025년 9월(9월 1일 ~ 9월 30일) 한 달간 잉카인터넷 시큐리티대응센터는 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 Trojan이 68%로 가장 높은 비중을 차지했고, Virus가 10%로 그 뒤를 따랐다.

 

[그림 1] 2025년 9월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2025년 9월(9월 1일 ~ 8월 30일) 한 달간 등장한 악성코드를 조사한 결과, 정상 프로그램 OneDrive.exe을 대상으로 DLL 사이드로딩 기법을 사용해 실행되는 NotDoor 백도어가 발견됐다. 또한, 보안 취약점이 존재하는 SonicWall 장비를 대상으로 Akira 랜섬웨어의 감염이 급증했으며 불법 복제 소프트웨어로 위장해 유포되는 정보탈취형 악성코드 Raven Stealer가 등장했다. 이 외에도 MacOS 시스템에서 사용되는 Xcode 개발 프로젝트를 겨냥한 XCSSET와 악성 광고를 이용해 유포되는 안드로이드 뱅킹 트로이목마 Brokewell의 소식이 전해졌다.

 

NotDoor - Backdoor

9월 초, 러시아의 해커 그룹 FancyBear가 NATO 회원국의 기업을 대상으로 유포하는 NotDoor 백도어가 발견됐다. SSPICLI.dll 파일로 위장한 악성코드는 정상 프로그램 OneDrive.exe이 실행될 때 DLL 사이드로딩 기법을 이용해 로드된 후 VBA 기반의 NotDoor 백도어를 설치한다. 설치된 백도어는 메일과 관련된 이벤트를 활용해 Outlook에서 “Daily Report”와 같은 특정 트리거 문구가 포함된 이메일을 모니터링하고 해당 이메일을 수신하면 명령어를 추출해 실행한다. 이에 보안업체 S2 Grupo 측은 그룹 정책에서 Outlook의 VBA 스크립트 기능을 비활성화할 것을 권고했다.

 

Akira - Ransomware

보안 업체 Rapid7은 최근 SonicWall 장비를 대상으로 하는 Akira 랜섬웨어의 침입이 급증했다고 발표했다. 침입 과정에서 공격자는 SonicWall SSL VPN의 보안 취약점 CVE-2024-40766과 기본 사용자 그룹 설정 오류를 악용해 초기 접근을 시도한 것으로 전해진다. CVE-2024-40766은 SonicOS의 부적절한 접근 제어 취약점으로 네트워크 자원에 무단 접근을 허용하거나 방화벽을 충돌시켜 무력화할 수 있어 SonicWall은 취약점을 패치하고 배포한 바 있다. Radpid7 측은 기본 암호를 사용하고 있는 SonicWall의 로컬 계정을 제거하고 최신 패치 버전으로 업데이트하는 등의 보안 조치 사항을 전했다.

 

Raven Stealer - InfoStealer

9월 중순, 피싱 이메일 또는 불법 복제 소프트웨어를 이용해 유포되는 Raven Stealer가 발견됐다. 해당 악성코드는 Delphi 기반의 빌더를 이용해 생성되며 공격자는 원격 통신에 사용될 텔레그램 ID와 봇 토큰 등의 자격 증명을 입력한다. 난독화된 자격 증명과 스틸러 페이로드는 리소스 섹션에 저장된 후 로더 형태로 유포되고 실행 중 메모리에 직접 로드하는 파일리스 방식으로 동작한다. Raven Stealer는 Chromium 기반의 브라우저를 대상으로 비밀번호, 쿠키 및 결제 세부 정보 등을 수집해 공격자의 텔레그램 채널로 전송한다. 보안 업체 Point Wild는 의심스러운 링크나 첨부 파일의 클릭을 지양하고 정식 소프트웨어를 사용할 것을 권고했다.

 

XCSSET - MacOS

마이크로소프트가 Xcode 개발 프로젝트를 대상으로 유포되는 MacOS 악성코드 XCSSET의 변종을 발견했다. 해당 악성코드는 Xcode 프로젝트가 빌드될 때 실행되며 공격자가 운영하는 C&C 서버와 통신해 악성 동작을 수행하는 하위 모듈을 다운로드한다. 다운로드된 모듈은 클립보드의 내용을 모니터링해 암호화폐 지갑 주소를 공격자의 지갑 주소로 변경하고 Firefox 브라우저에서 비밀번호와 쿠키 등의 정보를 수집한다. 또한 AppleScript를 이용해 LaunchDaemon에 자동 실행을 등록한 후 시스템 및 보안 업데이트를 비활성화 한다. XCSSET는 이미 감염된 Xcode 프로젝트를 이용해 확산되기 때문에 저장소에서 복제한 프로젝트를 반드시 검사하고 클립보드를 이용해 민감한 정보를 복사할 때 콘텐츠를 다시 한 번 확인하는 등 주의가 필요하다.

 

Brokewell - Andriod

Meta의 광고 시스템을 악용해 안드로이드 사용자를 대상으로 유포되는 뱅킹 트로이목마 Brokewell이 발견됐다. 공격자는 페이스북에서 안드로이드용 무료 트레이딩뷰 프리미엄 앱을 무료로 제공한다는 내용의 악성 광고를 게시하고 사용자의 클릭을 유도한다. 해당 광고를 클릭한 사용자는 실제 트레이딩뷰 사이트와 유사하게 제작된 악성 사이트로 리디렉션되며 악성 APK 파일이 다운로드된다. APK 파일이 설치되면 가짜 업데이트 알림을 표시해 악성 행위에 필요한 권한을 요청하며 감염된 기기에서 암호화폐, 계정 및 SNS 메시지 등의 정보를 수집한다. 이후 공격자가 운영하는 C&C 서버와 통신해 수집한 정보를 전송하고 서버로부터 명령어를 수신해 기기를 제어한다. BitDefender 측은 해당 캠페인이 처음에는 윈도우 사용자를 대상으로 시작했지만 점차 안드로이드로 범위를 확장하고 있어 주의가 필요하다고 전했다.