2026년 02월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2026년 2월(2월 1일 ~ 2월 28일) 한 달간 잉카인터넷 시큐리티대응센터는 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 Trojan이 74%로 가장 높은 비중을 차지했고, Virus가 11%로 그 뒤를 따랐다.

 

[그림 1] 2026년 2월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2026년 2월(2월 1일 ~ 2월 28일) 한 달간 등장한 악성코드를 조사한 결과, 취약한 웹사이트에서 ClickFix 방식을 사용해 PowerShell 스크립트를 실행하도록 유도하고 MimicRAT 악성코드를 유포하는 피싱 캠페인이 발견됐다. 또한, 윈도우 및 리눅스 등 다양한 운영체제 대상의 DrangonForce 랜섬웨어가 등장했으며 러시아 정부 기관 네트워크에 침입해 데이터를 탈취하는 데 사용된 ZipWhisper가 공개됐다. 이 외에도 안드로이드 태블릿의 펌웨어에 숨겨진 Keenadu 백도어와 리눅스 시스템에서 파일리스 형태로 실행되는 ShadowHS의 소식이 전해졌다.

 

MimicRAT - RAT

최근 취약한 정상 웹사이트를 공격해 다단계 악성코드 체인을 유포하고 최종 페이로드로 MimicRAT을 감염시키는 캠페인이 발견됐다. 공격자는 보안이 취약한 웹사이트로 침입해 가짜 팝업을 삽입하고 해당 팝업을 클릭하면 악성 PowerShell 코드를 클립보드에 복사해 사용자가 직접 실행하도록 유도한다. 실행된 스크립트는 윈도우 이벤트 로깅과 AMSI 스캔을 우회한 후 Lua 기반의 로더를 드롭 및 실행해 최종적으로 MimicRAT을 로드한다. MimicRAT은 HTTPS 프로토콜을 이용해 공격자가 운영하는 C&C 서버와 통신하고 프로세스 제어, 파일 수정 및 셸 코드 주입 등 22개의 서버 명령어를 수행한다. IT 업체 Elastic은 단순 네트워크 시그니처에 의존하지 않고 실시간 모니터링을 이용한 행위 기반 탐지가 필요하다고 밝혔다.

 

DragonForce - Ransomware

보안 업체 CyberReason은 윈도우, 리눅스 및 NAS 시스템까지 다양한 운영체제를 대상으로 유포되는 DargonForce 랜섬웨어를 발견했다. DragonForce는 공격 전에 대상 시스템을 확인하는 사전 실행 모드 옵션을 지원하며 멀티 스레딩과 부분 암호화 등의 방식을 이용해 파일 암호화 속도를 높였다. 또한 기본적으로 암호화할 경로와 모드를 지정할 수 있으며 감염된 시스템이 ESXi일 경우 사용할 스레드 수와 로그 파일 경로를 추가로 설정할 수 있다. CyberReason 측은 다중 인증 및 최신 패치 관리 등 보안 관련 정책을 추가하고 정기적으로 파일을 백업해 랜섬웨어 피해를 예방하도록 권고했다.

 

ZipWhisper - InfoStealer

2월 초, 러시아 정부 기관 및 업체를 대상으로 공격을 시도한 새로운 해커 조직 Punishing Owl이 등장했다. 공격자는 러시아 정부 기관의 서버를 공격해 DNS 레코드를 해커 그룹의 소개 페이지 주소로 변경한 후 피해 기관과 관련된 업체를 대상으로 피싱 이메일을 전송했다. 메일에 첨부된 아카이브 내에는 악성 LNK 파일이 포함돼 있으며 해당 LNK 파일을 실행하면 공격자가 운영하는 C&C 서버와 통신해 정보 탈취 악성코드 ZipWhisper를 다운로드 및 실행한다. ZipWhisper는 웹 브라우저에 저장된 자격 증명 데이터를 수집해 ZIP 파일로 압축한 후 C&C 서버로 전송한다. 보안 업체 Positive Technologies 측은 해커 조직 Punishing Owl의 프로필 정보에서 위치가 카자흐스탄으로 확인됐으며 지속적으로 모니터링할 것이라고 전했다.

 

Keenadu - Andriod

2월 중순에는 안드로이드 태블릿의 펌웨어에 내장돼 유포되는 백도어 악성코드 Keenadu가 발견됐다. 보안 업체 Kaspersky는 Keenadu 백도어가 숨겨진 펌웨어는 빌드 단계에서 침해된 것으로 추정되며 유효한 디지털 서명을 포함하고 있다고 밝혔다. 해당 펌웨어가 설치된 태블릿에서 임의의 앱을 실행하면 주소 공간에 백도어가 로드되고 공격자가 운영하는 C&C 서버와 통신을 시도한다. 서버와 연결에 성공하면 공격자는 검색 엔진을 장악하고 광고 등을 이용해 수익을 내며 감염된 기기를 원격으로 제어할 수 있다. Kaspersky 측은 모바일 기기 대상의 악성코드도 유포 방식이 점점 다양해지고 고도화되고 있어 주의가 필요하다고 전했다.

 

ShadowHS - Linux

보안 업체 Cyble의 위협 헌팅 그룹은 리눅스 시스템을 대상으로 장기간 액세스를 유지하는 파일리스 형태의 악성 프레임워크 ShadowHS의 정보를 공개했다. ShadowHS는 Perl 변조 및 AES 암호화 등의 다단계 난독화된 로더를 이용해 오픈소스 셸 프레임워크인 Hackshell의 수정 버전을 메모리 내에서 복호화 및 로드한다. Cyble의 보안 연구원은 수정된 Hackshell이 정보 탈취, 리버스 셸 및 원격 제어 등의 기능을 포함하며 GSocket 터널 암호화 통신을 활용해 네트워크 탐지 흔적을 최소화하는 특징이 존재한다고 전했다. 또한 ShadowHS가 높은 엔트로피의 난독화된 로더와 파일리스 방식을 사용해 정적 탐지를 우회할 수 있어 행위 기반 탐지의 중요성을 강조했다.