카스퍼스키가 인포스틸러 감염 경로를 분석한 보고서를 발표했다. 연구 결과 전체 감염 사례의 35% 이상은 사용자가 브라우저 임시 폴더에 저장된 파일을 직접 실행하면서 시작됐다. 이는 고도화된 탐지 회피 기법보다 다운로드 파일 실행, 불법 활성화 도구 사용, 보안 프로그램 비활성화 등 사용자 행동이 자격 증명 탈취의 주요 원인으로 작용하고 있음을 보여준다.
Kaspersky’s infostealer report found that more than 35% of infections began when users executed files from browser temporary folders, highlighting risky user behavior as a major driver of credential theft.

글로벌 사이버보안 기업 카스퍼스키가 정보 탈취형 악성코드 인포스틸러 분석 보고서를 발표했다.
카스퍼스키 디지털 풋프린트 인텔리전스 연구진은 2025년 다크웹에서 발견된 인포스틸러 로그 파일 500만 개를 분석했다. 로그에는 감염된 PC에서 탈취된 계정 정보, 브라우저 쿠키, 시스템 메타데이터와 함께 악성 파일이 실제로 실행된 위치 정보가 포함됐다.
분석 결과 전체 인포스틸러 감염 사례의 35% 이상은 사용자가 브라우저 임시 폴더에 저장된 파일을 직접 실행하면서 시작된 것으로 나타났다. 이는 사용자 행동이 여전히 자격 증명 탈취의 주요 원인으로 작용하고 있음을 보여준다.
가장 많은 감염이 시작된 위치는 Windows 임시 폴더인 C:\Users<User>\AppData\Local\Temp\ 경로였다. 해당 폴더는 인터넷에서 내려받은 파일이 사용자가 별도 위치에 저장하기 전에 임시로 보관되는 공간이다. 상당수 감염은 공격자가 복잡한 침투 기법을 사용한 결과라기보다 사용자가 다운로드한 파일을 충분히 확인하지 않고 실행하면서 발생한 것으로 분석됐다.
두 번째로 많이 확인된 위치는 C:\Windows\Microsoft.NET\Framework\ 경로였다. 전체 사례의 약 32%를 차지했으며, 이 경로에서는 프로세스 인젝션과 LOL 기법이 주로 사용됐다.
프로세스 인젝션은 악성코드가 정상적으로 실행 중인 프로그램 안에 자신의 코드를 삽입해 실행하는 방식이다. LOL은 Windows에 기본 탑재된 정상 프로그램과 도구를 악용해 보안 솔루션 탐지를 우회하는 공격 기법이다. 카스퍼스키는 이러한 방식이 Lumma와 같은 고도화된 인포스틸러 계열에서 주로 확인됐다고 설명했다.
감염은 주로 두 가지 사용자 행동과 밀접하게 연결됐다. 하나는 신뢰할 수 없는 웹사이트에서 소프트웨어를 내려받는 행동이고, 다른 하나는 정품 인증을 우회하기 위해 불법 활성화 도구를 사용하는 행동이다. 많은 피해자는 공격자의 안내에 따라 악성 파일을 실행하기 전 백신 등 보안 프로그램을 직접 비활성화한 것으로 확인됐다.
공격자는 악성 파일을 정상 프로그램 설치 파일, 활성화 도구, 게임 모드 등으로 위장해 사용자가 의심 없이 실행하도록 유도했다. 게임 모드는 여전히 대표적인 공격 수단으로 활용되고 있으며, 유사한 위장 기법은 게임뿐 아니라 다양한 소프트웨어 배포 과정에도 적용되는 것으로 나타났다.
세르게이 셰르벨 카스퍼스키 디지털 풋프린트 인텔리전스 전문가는 2025년 인포스틸러 감염이 전년 대비 59% 증가했다고 설명했다. 그는 많은 인포스틸러가 임시 다운로드 폴더에서 바로 실행된 점은 사용자가 파일을 다운로드한 직후 충분한 확인 없이 실행하는 경우가 많다는 의미라고 밝혔다. 공격자는 복잡한 기법보다 사용자가 파일을 직접 실행하도록 유도하는 것만으로도 목적을 달성할 수 있다는 분석이다.
이효은 카스퍼스키코리아 지사장은 한국은 높은 수준의 디지털 환경을 갖추고 있지만, 전자상거래와 온라인 서비스에서 유출된 개인정보를 악용한 표적 피싱 공격이 지속되고 있다고 설명했다. 이를 통해 자격 증명 탈취형 악성코드도 빠르게 확산되고 있으며, 브라우저에서 내려받은 파일을 충분히 확인하지 않은 채 실행하거나 불법 소프트웨어와 게임 모드 설치를 위해 보안 프로그램을 끄는 사용 행태가 위험 요인으로 작용한다고 지적했다.
이 지사장은 중소기업의 경우 보안 체계가 상대적으로 취약해 사회공학 공격에 쉽게 노출될 수 있다고 강조했다. 최근 한국 사이버 공격은 사용자를 속이는 사회공학 기법과 정상 프로그램을 악용하는 프로세스 인젝션 등 고도화된 기술이 함께 사용되는 양상을 보이고 있다며, 기업과 공공기관은 엔드포인트 보안만으로는 충분하지 않다고 설명했다. 웹 전반의 디지털 위험 모니터링과 임직원 보안 교육을 강화해 자격 증명 탈취를 사전에 차단해야 한다는 것이다.
인포스틸러 계열별 파일명에서도 특징적인 패턴이 확인됐다. Lumma는 일반적인 설치 프로그램 이름을 사용하고 .NET 난독화와 프로세스 인젝션 기법을 함께 사용하는 경향을 보였다. Vidar는 Bootstrapper.exe 형태의 파일명과 기존 로더를 주로 활용했다.
Stealc는 Licence_Version_Loader.exe처럼 의미 있는 파일명과 무작위 파일명을 혼용하는 전략을 사용했다. RisePro는 MPGPH.exe, MSIUpdater.exe와 같은 일정한 파일명 규칙을 반복적으로 사용하는 특징을 보였다.
카스퍼스키는 조직의 인포스틸러 감염 위험을 줄이기 위해 디지털 자산을 지속적으로 모니터링하고, 표면 웹과 딥웹, 다크웹 전반에서 위협을 탐지할 수 있는 디지털 위험 보호 서비스를 도입해야 한다고 권고했다. 또한 정보보안 담당자가 조직을 노리는 최신 사이버 위협을 폭넓게 파악할 수 있도록 위협 인텔리전스를 활용해야 한다고 강조했다.
일반 사용자는 소프트웨어를 공식 또는 신뢰할 수 있는 출처에서만 내려받아야 한다. 불법 복제 소프트웨어, 크랙, 활성화 도구, 비공식 설치 프로그램 사용은 피해야 하며, 보안 솔루션을 설치해 잠재적인 위협을 사전에 차단해야 한다.
민감한 정보 관리도 중요하다. 비밀번호나 계정 복구 문구를 사진첩이나 메모장에 저장하지 말고, 전용 비밀번호 관리 솔루션을 사용하는 것이 권장된다. 소프트웨어 설치를 위해 안티바이러스 백신이나 보안 프로그램을 비활성화해서는 안 되며, 게임 모드와 치트 프로그램, 서드파티 유틸리티 다운로드 시에도 각별한 주의가 필요하다.
운영체제와 애플리케이션은 최신 상태로 유지해야 한다. 서비스마다 서로 다른 강력한 비밀번호를 사용하고, 가능한 경우 다중 인증을 활성화하면 자격 증명 탈취에 따른 피해를 줄일 수 있다.

