글로벌 사이버 보안 기업 노드VPN은 최근 인포스틸러(Infostealer)가 특정 조직이나 집단을 겨냥한 공격을 넘어, 소셜미디어 이용과 게임 플레이, 업무용 계정 관리 등 일상적인 온라인 활동 전반을 노리는 위협으로 확산되고 있다고 밝혔다. 평범한 인터넷 사용 환경 자체가 사이버 범죄자들의 주요 공격 대상이 되고 있다는 분석이다.

인포스틸러는 사용자가 인지하지 못하는 사이 브라우저와 애플리케이션에 저장된 로그인 정보와 자격 증명, 활성 세션 등을 수집해 외부로 유출하는 악성코드다. 감염 직후에는 별다른 이상 징후가 나타나지 않는 경우가 많지만 이후 계정 탈취나 승인되지 않은 결제, 비밀번호 초기화 등으로 피해가 확인되는 사례가 이어지고 있다. 최근에는 악성 광고와 가짜 설치 파일, 불법 소프트웨어 등을 통해 유포되며 사이버 범죄의 주요 수단으로 자리 잡고 있다.

노드VPN은 위협 노출 관리 플랫폼 노드스텔라(NordStellar)를 통해 인포스틸러 관련 데이터를 분석했다. 2025년 한 해 동안 전 세계 인포스틸러 로그에서 가장 자주 언급된 1만 개 도메인을 조사한 결과 약 5억 건에 달하는 로그가 확인됐다. 피해 사례의 약 99%는 윈도우 운영체제를 사용하는 일반 PC 환경에서 발생한 것으로 나타났다.

일상 사용자부터 게이머까지 피해 확대

피해 양상을 살펴보면 소셜미디어와 스트리밍, 이커머스 등을 일상적으로 이용하는 일반 인터넷 이용자가 가장 많은 피해를 입은 것으로 분석됐다. 브라우저에 저장된 세션 하나만 탈취되더라도 이메일과 결제 서비스 등 여러 계정으로 연쇄 접근이 가능해 피해 범위가 빠르게 확산될 수 있다는 점이 특징이다.

게이머 역시 주요 피해 그룹으로 확인됐다. 게임 런처와 스트리밍 플랫폼, 커뮤니티 서비스를 함께 사용하는 환경에서 감염 사례가 빈번하게 나타났으며 크랙 게임이나 비공식 모드, 치트 프로그램 등을 통한 유입도 반복적으로 포착됐다. 이들 계정에는 결제 수단이나 디지털 자산이 함께 저장되는 경우가 많아 추가 피해로 이어질 가능성도 큰 것으로 분석됐다.

IT 전문가도 예외 아냐

이번 조사에서는 IT 전문가 역시 인포스틸러 공격에서 예외가 아닌 것으로 나타났다. 개발 도구와 원격 접속 환경이 포함된 로그가 다수 확인됐으며 이 경우 개인 계정을 넘어 기업 내부 시스템이나 클라우드, 개발 플랫폼으로 접근이 확산될 수 있다는 우려도 제기됐다.

노드VPN은 인포스틸러 공격이 특정 직업이나 기술 수준을 노리는 것이 아니라, 사용 편의를 위해 저장된 로그인 정보 자체를 노리는 공격이라는 점에 주목해야 한다고 강조했다.

스트리머·e스포츠 공격 사례와도 연결

노드VPN은 이러한 결과가 지난해 국내에서 발생한 스트리머와 프로게이머 대상 사이버 공격 사례와도 맞닿아 있다고 설명했다. 당시 일부 개인 방송과 e스포츠 경기에서는 해킹이나 디도스 공격으로 방송과 경기 진행에 차질이 발생하며 개인 PC와 계정, 실시간 스트리밍 환경의 보안 문제가 사회적 이슈로 떠오른 바 있다. 공격 방식은 서로 달랐지만 일상적인 사용자 환경이 사이버 범죄의 표적이 될 수 있다는 점에서는 공통점을 보였다.

핵심 계정 MFA 적용 등 보안 강화 필요

노드VPN은 인포스틸러 피해를 줄이기 위한 대응 방안으로 핵심 계정 보안 강화가 필요하다고 강조했다. 주요 권고 사항으로는 이메일과 주요 로그인 계정에 대한 다중요소인증(MFA) 적용, 브라우저에 저장된 비밀번호와 활성 세션의 주기적인 점검, 운영체제와 브라우저의 최신 상태 유지 등이 제시됐다. 또한 보안 기능 비활성화나 경고 무시를 요구하는 프로그램에 대한 경계와 비공식 런처 및 불법 소프트웨어 설치 차단도 중요한 예방책으로 꼽혔다.

노드VPN 최고기술책임자 마리우스 브리에디스는 “인포스틸러는 특정한 사람을 노리는 공격이 아니라 우리가 일상적으로 반복하는 온라인 행동을 노린다”며 “한 번 저장된 로그인 정보나 세션이 탈취되면 공격자는 사용자가 대응하기도 전에 여러 계정으로 빠르게 이동할 수 있다”고 말했다.

이준문 기자/jun@newstap.co.kr

ⓒ 뉴스탭(https://www.newstap.co.kr) 무단전재 및 재배포금지