2026년 05월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2026년 5월(5월 1일 ~ 5월 31일) 한 달간 잉카인터넷 시큐리티대응센터는 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 Trojan이 64%로 가장 높은 비중을 차지했고, Backdoor가 9%로 그 뒤를 따랐다.

 

[그림 1] 2026년 5월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2026년 5월(5월 1일 ~ 5월 31일) 한 달간 등장한 악성코드를 조사한 결과, TCP 터널링 서비스를 이용해 C&C 서버 통신을 구현한 새로운 파이썬 기반의 백도어 DEEP#DOOR가 등장했다. 또한, 소프트웨어의 공식 사이트의 설치 파일에 QUIC RAT 악성코드를 삽입해 유포하는 공급망 공격과 가짜 면접 플랫폼으로 위장해 MacOS에서 정보를 탈취하는 JobStealer의 소식이 전해졌다. 이 외에도 모든 전화번호의 통화 기록을 제공한다는 허위 주장으로 결제를 유도하는 악성 안드로이드 앱 CallPhantom과 브라질의 은행 고객을 대상으로 결제 흐름을 조작하고 금전을 탈취하는 뱅커 악성코드 Banana RAT이 발견됐다.

 

DEEP#DOOR - Backdoor

5월 초, 보안 업체 Securonix는 TCP 터널링 서비스를 이용해 공격자의 C&C 서버와 통신을 구현한 파이썬 기반의 백도어 악성코드 DEEP#DOOR를 발견했다. 해당 백도어는 배치 스크립트 형태로 유포되며 내장된 파이썬 페이로드를 동적으로 추출하고 이를 레지스트리 및 작업 스케줄러 등으로 자동 실행을 등록한다. 실행된 파이썬 페이로드는 TCP 터널링을 이용해 C&C 서버와 통신하는 과정에서 전용 인프라의 필요성을 제거했으며 서버로부터 명령어를 수신해 악성 동작을 수행한다. Securonix 측은 해당 백도어가 가상환경 탐지, ETW 패치 및 NTDLL 언후킹 등을 포함한 다양한 분석 및 방어 회피 매커니즘을 탑재하고 있어 주의가 필요하다고 전했다.

 

QUIC RAT - RAT

보안 업체 Kaspersky는 디스크 이미지 에뮬레이터 DAEMON Tools의 공식 설치 파일에서 QUIC RAT 악성코드를 유포하는 공급망 공격을 발견했다. 해당 악성코드는 서명된 설치 파일에 삽입됐으며 실행 시 시스템 정보 수집 후 공격자의 C&C 서버로부터 추가 페이로드를 다운로드한다. 다운로드된 페이로드는 명령어 실행과 파일 다운로드 등 간단한 동작을 수행하는 백도어로 QUIC RAT 악성코드를 배포하는 역할을 수행한다. QUIC RAT은 notepad.exe와 conhost.exe 등의 정상 프로세스를 대상으로 코드 인젝션을 수행하며 HTTP, QUIC 및 DNS 등의 프로토콜을 이용해 C&C 서버와 통신을 수행한다. Kaseprsky 측은 공급망 공격 사례가 증가함에 따라서 소프트웨어 설치에 주의를 당부하고 제로트러스트 전략 구축을 권고했다.

 

JobStealer - MacOS

5월 중순, 가짜 채용 면접 플랫폼을 이용해 Windows 및 MacOS 운영체제를 대상으로 유포되는 정보 탈취 악성코드 JobStealer가 발견됐다. 공격자는 MeetLab, Meetix 및 Cisco Webex 등의 온라인 회의 플랫폼으로 위장한 피싱 사이트를 운영하며 사용자에게 Bash 명령 또는 DMG 설치 파일의 실행을 유도했다. Bash 명령어 또는 DMG 설치 파일을 실행하면 공격자의 C&C 서버에서 JobStealer를 다운로드하며 해당 악성코드는 가짜 MacOS 비밀번호 입력창을 띄워 입력된 계정 암호를 수집하고 웹 브라우저 자격 증명과 텔레그램 세션 정보와 함께 C&C 서버로 전송한다. 보안 업체 Dr.Web은 현재 개발중인 리눅스와 모바일 운영체제를 대상으로하는 JobStealer도 발견됐다고 언급하며 주의들 당부했다.

 

CallPhantom - Android

보안 업체 ESET은 모든 전화번호에 대한 통화 기록에 접근할 수 있다는 허위 주장으로 결제를 유도하는 모바일 악성코드 CallPhantom을 발견했다. Call Phantom은 구글 플레이 스토어에서 약 28개 앱에 대한 730만 건의 다운로드를 기록했으며 주로 인도와 아시아 태평양 지역의 사용자를 겨냥한 것으로 전해진다. 앱을 실행하면 통화, SMS 및 WhatsApp 등의 기록을 제공한다고 주장하며 정보를 해금하기 위한 결제를 유도하지만 실제 정보는 무작위로 생성된 가짜 정보인 것으로 확인됐다. ESET 측은 해당 악성 앱이 단순한 인터페이스로 구성돼 있으며 민감한 정보를 요구하지 않아 탐지와 의심을 피할 수 있었다고 밝혔다.

 

Banana RAT - Banker

5월 말, 브라질의 은행 고객을 대상으로 금전을 탈취하는 뱅커 악성코드 Banana RAT이 발견됐다. 보안 업체 Trend Micro는 해당 악성 앱이 전자 송장 파일로 위장한 채 WhatsApp 또는 피싱 링크로 사용자를 속이고 유포됐다고 전했다. 전자 송장 파일을 다운로드 및 실행하면 BAT 스크립트가 실행되며 PowerShell 명령어를 시용해 공격자의 C&C 서버로부터 Banana RAT의 페이로드를 다운로드하고 파일리스 방식으로 실행한다. Banana RAT은 사용자의 활동을 모니터링하면서 브라질 은행 사이트에서 금융 거래 활동이 확인되면 원격 제어를 시도하거나 QR 코드를 조작해 금전을 탈취하도록 설계됐다. Trend Micro는 해당 캠페인이 결제 흐름을 조작해 사용자가 가장 취약한 순간을 겨냥해 주의가 필요하며 사용자의 인식 강화 교육이 필요하다고 강조했다.