2026년 03월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2026년 3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 시큐리티대응센터는 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 Trojan이 57%로 가장 높은 비중을 차지했고, Trojan-Downloader가 16%로 그 뒤를 따랐다.

 

[그림 1] 2026년 3월 악성코드 유형별 비율

 

2. 악성코드 동향

2026년 3월(3월 1일 ~ 3월 31일) 한 달간 등장한 악성코드를 조사한 결과, 가짜 화상회의 및 문서 프로그램 업데이트로 위장해 장기적인 원격 제어를 시도하는 ScreenConnect 백도어가 발견됐다. 또한, ClickFix 기법을 사용해 사용자가 직접 파워셸 명령어를 실행하도록 유도하는 AI 생성 악성코드 Slopoly가 등장했으며 해커 그룹 TeamPCP가 탈취한 NPM 토큰을 악용해 공급망을 침해하고 배포한 자가 전파형 웜 악성코드 CanisterWorm이 공개됐다. 이 외에도 중남미 지역을 표적으로 소셜 엔지니어링 기법을 사용해 금융 및 암호화폐 정보를 탈취하는 Rust 기반 뱅커 VENON과 피싱 사이트에서 IPTV 앱으로 위장해 안드로이드 기기의 금융 정보 및 노트 앱 내용을 훔치는 LLM 변종 뱅커 Perseus의 소식이 전해졌다.

 

Slopoly - RAT

최근 IBM의 보안 연구원은 해커 그룹 Hive0163과 관련된 인공지능 생성 악성코드 Slopoly의 세부 정보를 공개했다. 공격자는 ClickFix 기법을 이용해 사용자가 직접 PowerShell 명령어를 실행하도록 유도하며 이후 다운로드된 NodeSnake를 통해 Slopoly를 시스템에 배포한다. 감염된 시스템에 배포된 Slopoly는 공격자가 운영하는 C&C 서버와 통신해 50초마다 새로운 명령어를 수신하고 cmd.exe를 이용해 해당 명령어를 실행한다. 보안 연구원은 이 악성코드가 알려지지 않은 LLM을 이용해 개발됐으나 실행 중 자신의 코드를 자체적으로 수정할 수는 없어 다형성 악성코드로 보기는 어렵다고 밝혔다. IBM 측은 Slopoly와 같은 AI 생성 악성코드는 위협 행위자들이 AI를 얼마나 쉽게 무기화해 새로운 악성코드를 개발할 수 있는지를 여실히 보여준다고 경고했다.

 

CanisterWorm - Worm

최근 해커 그룹 TeamPCP가 NPM 패키지를 침해해 웜 악성코드 CanisterWorm을 배포하는 캠페인이 발견됐다. 공격자는 탈취한 NPM 토큰을 이용해 deploy.js를 실행하고 게시 가능한 패키지를 열거한 뒤 패치 버전을 자동으로 증가시키는 방식으로 악성 페이로드를 배포한다. 설치된 악성 패키지는 postinstall 훅을 사용해 파이썬 백도어를 드롭하며 systemd 사용자 서비스로 등록해 시스템 내 영구적인 지속성을 확보한다. 드롭된 파이썬 백도어는 5분 대기 후 공격자가 운영하는 ICP 기반 C&C 서버에 50분 주기로 접속해 실행할 바이너리의 URL을 전달받는다. Aikido 측은 업그레이드된 악성코드 버전에서 NPM 토큰을 자동으로 수집하고 deploy.js를 실행하는 자가 전파 기능이 추가됐음을 확인했으며 개발자들에게 NPM 토큰이 노출되지 않도록 각별히 주의할 것을 권고했다.

 

ScreenConnect - Backdoor

3월 초, Teams와 Zoom 및 Adobe Reader 등의 가짜 업데이트로 위장해 유포되는 ScreenConnect 백도어가 등장했다. 공격자는 회의 초대 PDF나 링크가 포함된 피싱 메일을 전송해 사용자를 피싱 사이트로 유도한 후 필수 업데이트라는 명목으로 악성 실행 파일을 설치하도록 유도한다. 이 실행 파일은 악성코드를 유포할 목적으로 디지털 서명 이름만 가져와 TrustConnect Software PTY LTD 명의의 인증서로 서명돼 보안 경고를 우회하며 실행 시 ScreenConnect를 설치하고 Run 레지스트리에 등록해 지속성을 확보한다. 이후 공격자가 운영하는 C&C 서버와 통신하며 암호화된 PowerShell 명령어를 사용해 Tactical RMM 및 MeshAgent 등의 RMM 도구를 추가로 설치하고 장기적인 원격 제어와 내부 네트워크 전파를 시도한다. 마이크로소프트 측은 이메일 기반의 업데이트 안내를 신뢰하지 말고 소프트웨어는 반드시 공식 출처를 활용해 업데이트할 것을 권고했다.

 

VENON – Banker

3월 중순에는 중남미 지역을 표적으로 삼은 러스트 기반 뱅커 악성코드 VENON가 발견됐다. 공격자는 소셜 엔지니어링 기법을 이용해 악성 배치 파일을 배포하며 피해자가 이를 실행하면 정상 NVIDIA 실행 파일과 악성 DLL이 시스템에 드롭된다. 로드된 악성 DLL은 AMSI 우회, 이벤트 추적 우회, ntdll 언훅 등 다양한 안티 분석 기법을 순차적으로 실행하며 Argon2id와 XChaCha20-Poly1305 암호화로 원격 설정을 복호화해 C&C 서버 주소를 획득한다. 이후 브라질의 주요 금융기관을 대상으로 뱅킹 오버레이 공격과 클립보드 조작 및 창 모니터링을 수행할 뿐만 아니라 바이낸스, 코인베이스 등 주요 암호화폐 거래소 및 지갑도 모니터링해 정보를 탈취한다. ZenoX 측은 VENON 악성코드가 생성형 AI를 활용해 개발됐을 가능성이 있으며 초기 샘플의 로컬 컴파일 경로에서 개발자로 추정되는 사용자명 byst4가 노출되었다고 밝혔다.

 

Perseus - Andriod

보안 업체 ThreatFabric은 피싱 사이트를 이용해 유포되는 새로운 안드로이드 뱅커 앱 Perseus의 정보를 공개했다. Perseus는 기존 안드로이드 악성 앱인 Phoenix를 기반으로 LLM을 이용해 코드를 확장한 변종이며 IPTV 서비스로 위장해 주로 유럽의 프리미엄 콘텐츠를 시청하고자 하는 사용자를 대상으로 유포된다. Perseus는 다른 뱅킹 앱과 동일하게 오버레이 공격으로 가짜 인터페이스를 띄우고 키 입력 등을 캡처해 자격 증명을 탈취한다. 또한 사용자 기기에 설치된 노트 앱을 모니터링하고 개인 또는 금융 정보를 추출하는 기능을 포함하고 있다.