지난해 국제 수사 기관의 공조로 소탕된 줄 알았던 루마 스틸러(Lumma Stealer)가 다시 기승을 부리고 있습니다. 이번에는 클릭픽스라는 아주 교묘한 사회공학적 기법을 들고 나왔는데요. 사용자가 직접 자기 컴퓨터에 악성코드를 설치하도록 유도하기 때문에 백신조차 무용지물이 되는 경우가 많습니다. 어떤 방식으로 우리의 소중한 정보를 노리는지 구체적인 수법과 예방법을 바로 확인해 보겠습니다.
루마 스틸러(Lumma Stealer)가 다시 강력해진 이유는 무엇일까요?
2025년 대규모 인프라 폐쇄 조치 이후 루마 스틸러 운영자들은 더욱 지능적인 방식으로 복귀했습니다. 기존의 도메인 기반 공격이 차단되자 명령 제어 서버를 빠르게 재건하고 배포 방식을 다각화했는데요. 현재 이 악성코드는 서비스형 악성코드(MaaS) 형태로 거래되며 전 세계 사이버 범죄자들에게 가장 인기 있는 도구가 되었습니다.
최근의 급증세는 단순히 기술적 진화 때문만이 아닙니다. 공격자들은 사람들이 의심 없이 누르는 캡차 화면을 사칭하거나 스팀 워크숍, 디스코드 같은 신뢰할 수 있는 플랫폼의 파일 공유 기능을 악용합니다. 사용자가 보안 경고를 스스로 무시하도록 만드는 심리 전술이 기술적 방어막보다 훨씬 효과적으로 작용하고 있습니다.
가짜 캡차로 사용자를 속이는 클릭픽스 공격 기법의 실체
클릭픽스는 기술적 취약점이 아니라 인간의 심리적 허점을 파고듭니다. 일반적인 캡차는 그림을 맞추거나 글자를 입력하라고 하지만 클릭픽스는 조금 다른 절차를 요구합니다.
- 웹사이트 오류 해결을 위해 특정 코드를 복사하라고 안내하기
- 윈도우 실행창(Win+R)을 열도록 유도하기
- 복사한 악성 명령어를 터미널에 붙여넣고 엔터를 치게 만들기
이 과정은 숙련된 사용자조차 문제 해결 단계로 착각하기 쉽습니다. 하지만 사용자가 엔터를 누르는 순간 터미널은 공격자가 심어둔 로더를 즉시 다운로드하고 실행합니다. 내 손으로 직접 해커에게 집 대문을 열어주는 꼴이 되는 셈입니다.
메모리에서만 작동하여 탐지가 어려운 캐슬로더의 위험성
이번 루마 스틸러 확산의 핵심 조력자는 캐슬로더(CastleLoader)라는 새로운 악성코드입니다. 이 프로그램은 일반적인 파일 형태가 아니라 컴퓨터의 메모리상에서만 상주하며 작동합니다.
- 하드 드라이브에 흔적을 남기지 않아 백신 스캔 회피
- 코드 실행 시 난독화 처리가 되어 있어 분석 방해
- 설치 직후 시스템의 보안 설정을 강제로 무력화
캐슬로더는 일단 시스템에 침투하면 가장 먼저 윈도우 디펜더 같은 기본 보안 프로그램을 무력화합니다. 그 후에 루마 스틸러 본체를 안전하게 내려받아 설치하는 징검다리 역할을 수행합니다. 메모리 기반 공격은 재부팅 전까지 탐지가 매우 까다롭다는 점이 가장 큰 위협입니다.
루마 스틸러(Lumma Stealer) 감염 시 털리는 데이터 리스트
루마 스틸러의 목적은 단 하나입니다. 돈이 될 만한 모든 정보를 가져가는 것입니다. 감염이 확인되었다면 다음과 같은 정보들이 이미 해커의 손에 넘어갔을 가능성이 큽니다.
- 브라우저에 저장된 모든 웹사이트 아이디와 비밀번호
- 자동 로그인을 가능하게 하는 세션 쿠키 값
- 메타마스크, 바이낸스 등 암호화폐 지갑의 프라이빗 키와 시드 구문
- 2차 인증(2FA)을 위한 백업 코드 및 인증 앱 데이터
- PC 내 문서 파일(.docx, .pdf) 및 서버 접속용 FTP 정보
공격자들은 탈취한 정보를 바탕으로 2차 피해를 입힙니다. 단순히 계정을 훔치는 것에 그치지 않고 가상화폐를 탈취하거나 기업의 기밀 정보를 다크웹에 판매하여 수익을 극대화합니다.
일상에서 루마 스틸러(Lumma Stealer) 감염을 예방하는 구체적인 방법
시스템 보안을 철저히 하더라도 사용자의 한 번의 실수가 모든 것을 무너뜨릴 수 있습니다. 루마 스틸러로부터 내 정보를 지키기 위해서는 다음 5가지 수칙을 반드시 지켜야 합니다.
- 유료 소프트웨어의 크랙 버전이나 복제 게임 파일을 절대로 내려받지 않기
- 웹사이트에서 윈도우 실행창(Win+R) 사용을 권유하면 즉시 접속 종료하기
- 윈도우 터미널 실행 시 관리자 권한 비밀번호를 요구하도록 설정하기
- 브라우저의 비밀번호 저장 기능을 사용하지 말고 전용 패스워드 매니저 활용하기
- 중요한 암호화폐 지갑은 가급적 하드웨어 월렛(Cold Wallet)으로 분리 관리하기
특히 기술적인 지식이 부족한 가족이나 지인의 PC에는 터미널 실행을 제한하는 정책을 미리 설정해 두는 것이 좋습니다. 공격자들은 항상 가장 약한 고리를 노린다는 사실을 잊지 말아야 합니다.
맥(macOS) 사용자도 안심할 수 없는 사회공학적 해킹 수법
루마 스틸러는 주로 윈도우 사용자를 타깃으로 하지만 최근에는 동일한 클릭픽스 기법이 맥 환경에서도 발견되고 있습니다. 맥용 악성코드 역시 사용자가 터미널을 열고 특정 명령어를 직접 실행하도록 유도하는 방식을 사용합니다.
운영체제의 보안성이 높더라도 사용자가 직접 권한을 부여하는 행위까지는 막지 못합니다. 무료 동영상 스트리밍 사이트나 불법 콘텐츠 공유 사이트에서 발생하는 갑작스러운 오류 메시지는 99% 확률로 해킹 시도라고 봐도 무방합니다. 어떤 OS를 사용하든 검증되지 않은 명령어를 복사해서 실행하는 일은 절대로 없어야 합니다.
정보 보안의 기본은 의심입니다
루마 스틸러의 부활은 보안 기술이 발전하더라도 인간의 심리를 이용한 공격은 언제나 유효하다는 것을 보여줍니다. 익숙한 캡차 화면이라도 무언가 평소와 다른 조작을 요구한다면 일단 멈추고 의심해야 합니다. 보안 수칙을 지키는 것은 번거로울 수 있지만 한 번의 정보 유출로 겪게 될 금전적 정신적 피해에 비하면 아주 작은 비용입니다. 지금 바로 사용 중인 브라우저의 보안 설정을 점검하고 불필요하게 저장된 비밀번호부터 정리해 보시기 바랍니다.
출처: https://arstechnica.com/security/2026/02/once-hobbled-lumma-stealer-is-back-with-lures-that-are-hard-to-resist/
이어서 보면 좋은 글
#LummaStealer #루마스틸러 #해킹예방 #정보보안 #피싱사이트 #클릭픽스 #악성코드제거 #개인정보보호 #암호화폐보안 #보안가이드