쇼핑몰 개발 PC 점검: 유틸리티 위장 악성코드 감염 징후 확인

한 줄 결론

이커머스 플랫폼 API 연동이나 서버 관리를 위해 사내에서 Postman, WinDbg, PsExec 등 IT 유틸리티를 사용하는 경우, 검색엔진을 통해 다운로드한 프로그램이 악성코드일 가능성이 있으므로 공식 헌팅 가이드에 따라 즉시 파일시스템, 레지스트리, 네트워크 감염 징후를 점검해야 합니다.

적용 대상 빠른 판별

공식 자료로 확인된 변경 내용

한국인터넷진흥원(KISA) 보호나라 및 KrCERT/CC는 2026년 3월 11일, ‘IT 관리자·개발자 대상 유틸리티 도구로 위장한 악성코드 유포 주의 권고’를 공식 발표했습니다. 본 권고안과 함께 배포된 ‘Operation SearchStrike – IT 관리자 및 개발자 대상 유틸리티 위장 악성코드 감염 헌팅가이드.pdf’에 따르면, 공격자들은 IT 실무 환경에서 빈번하게 사용되는 유틸리티 프로그램으로 위장한 악성 MSI 설치 파일을 유포하고 있습니다.

특히 이커머스 환경에서 오픈마켓 API 연동 테스트에 자주 쓰이는 Postman을 비롯하여, 서버 및 시스템 관리에 사용되는 Tftpd64, WinDbg, PsExec, USMT, IntuneWinAppUti, BgInfo, RDCMan 등이 주요 위장 대상으로 확인되었습니다. 공격자는 소스코드 저장소 제공 및 관리 서비스인 깃허브(GitHub)를 통해 이러한 악성코드를 유포하고 있습니다.

가장 주의해야 할 점은 공격자가 검색엔진 최적화(SEO) 기법을 악용하고 있다는 사실입니다. 구글(Google), 빙(Bing) 등 주요 검색엔진에서 실무자가 해당 유틸리티를 검색할 때, 악성 저장소가 검색 결과 상위에 노출되도록 조작하여 이용자가 이를 정상적인 소프트웨어로 오인하고 다운로드 및 실행하도록 유도하고 있습니다.

감염 징후 확인 방법 (4대 주요 지표)

KISA는 악성코드 감염 여부를 판단하기 위해 파일시스템, 레지스트리, 프로세스, 네트워크 등 4가지 영역에서의 구체적인 확인 방법을 제시했습니다. 사내 IT 담당자는 다음 사항을 즉시 점검해야 합니다.

• 파일시스템 점검: 윈도우 운영체제의 %LOCALAPPDATA% 경로 하위에 랜덤한 6자리 문자로 구성된 디렉토리가 생성되어 있는지 확인해야 합니다. 또한, 해당 경로 내에 비정상적인 node.exe 파일이 존재하는지 여부를 반드시 점검해야 합니다.
• 레지스트리 점검: 레지스트리 편집기를 실행하여 HKCUSoftwareMicrosoftWindowsCurrentVersionRun 경로를 확인하십시오. 해당 위치에 랜덤한 이름의 키가 등록되어 있고, node.exe를 사용하여 .cfg 또는 .ini 확장자를 가진 파일을 실행하도록 하는 명령이 존재한다면 감염을 의심해야 합니다.
• 프로세스 점검: 작업 관리자 등을 통해 프로세스 실행 체인을 분석해야 합니다. msiexec.exe 프로세스에서 시작되어 cmd.exe를 거쳐 최종적으로 node.exe로 이어지는 비정상적인 프로세스 체인이 발견되거나, %LOCALAPPDATA% 경로에서 직접 node.exe가 실행되는 정황이 있는지 확인하십시오.
• 네트워크 점검: 네트워크 트래픽 확인을 통해 이더리움 RPC 엔드포인트(예: rpc.mevblock[.]io, eth.llamarpc[.]com 등)로 향하는 비정상적인 HTTPS 요청이 발생하는지 탐지해야 합니다. 아울러 네트워크 요청 패킷 내에 X-Bot-Server라는 명칭의 커스텀 헤더가 포함되어 있는지도 중요한 감염 징후입니다.

실무자가 오해하기 쉬운 부분

첫째, “구글이나 빙 검색 결과 상단에 노출되는 링크는 안전하다”는 오해입니다. 이번 공격은 검색엔진 최적화(SEO)를 악용하여 악성 사이트를 정상적인 공식 사이트보다 상단에 노출시키는 방식을 취하고 있습니다. 따라서 검색 결과 최상단에 위치한 링크라 할지라도 무조건 신뢰해서는 안 되며, 다운로드 전 반드시 공식 배포처의 도메인이 맞는지 교차 검증해야 합니다.

둘째, “깃허브(GitHub)에 올라온 파일은 검증된 소스코드일 것이다”라는 오해입니다. 깃허브는 누구나 저장소를 생성하고 파일을 업로드할 수 있는 플랫폼입니다. 공격자들은 이를 악용하여 정상적인 유틸리티의 이름을 딴 악성 MSI 설치 파일을 깃허브에 업로드하고 유포 경로로 활용하고 있으므로, 출처가 불분명한 깃허브 저장소에서의 다운로드는 엄격히 금지해야 합니다.

셋째, “일반적인 백신 프로그램만으로 충분히 방어할 수 있다”는 오해입니다. KISA가 별도의 ‘헌팅 가이드’를 배포한 것은 기존의 단순 백신 검사만으로는 탐지가 어려울 수 있음을 시사합니다. 따라서 사내 보안 담당자는 KISA가 제시한 레지스트리 경로, 프로세스 체인, 특정 네트워크 엔드포인트 통신 여부를 수동으로 꼼꼼하게 점검해야만 정확한 감염 여부를 파악할 수 있습니다.

지금 할 일

이커머스 기업의 경영진 및 IT 책임자는 사내 개발자 및 서버 관리자들에게 본 KISA 권고안의 내용을 즉각 전파해야 합니다. 특히 최근 새로운 API 연동 작업을 진행했거나 서버 유지보수를 위해 Postman, WinDbg, PsExec 등의 도구를 새로 설치한 인력이 있다면 최우선 점검 대상입니다.

실무진은 KISA 보호나라 누리집에 첨부된 ‘Operation SearchStrike – IT 관리자 및 개발자 대상 유틸리티 위장 악성코드 감염 헌팅가이드.pdf’ 원문을 다운로드하여 상세한 점검 절차를 숙지해야 합니다. 이후 가이드에 명시된 파일시스템, 레지스트리, 프로세스, 네트워크 지표를 바탕으로 자체 점검을 실시하십시오.

자체 점검 결과, 단 하나의 침해사고 정황이라도 확인될 경우 즉각적인 조치가 필요합니다. 감염이 의심되는 PC는 즉시 사내 네트워크에서 분리하여 추가적인 피해 확산을 막아야 합니다. 이후 ‘KISA 인터넷 보호나라&KrCERT’ 홈페이지(www.boho.or.kr)의 ‘상담및신고’ 메뉴 내 ‘해킹 사고 신고’를 통해 접수하거나, 한국인터넷진흥원 콜센터(국번없이 118)로 전화하여 즉시 신고하고 전문가의 지원을 받아야 합니다.