오픈소스 위장 악성코드 'PyStoreRAT'... 윈도우 보안 회피 전략 경고

윈도우 운영체제를 노리는 새로운 형태의 악성코드가 오픈소스 플랫폼을 위장해 퍼지고 있다는 경고가 나왔다. 엔드포인트 보안 전문업체 모피섹(Morphisec)은 11일(현지시간) 사이버 보안 보고서를 통해 '파이스토어랫(PyStoreRAT)'으로 명명된 신규 악성코드 캠페인을 공개하며, 해당 위협이 기존 탐지 기술을 우회할 만큼 교묘하고 진화된 양상을 띠고 있다고 지적했다.

PyStoreRAT은 자바스크립트 기반 원격 액세스 트로이목마(RAT)로, 깃허브(GitHub)상에 존재하는 가짜 개발자 도구 혹은 오픈소스 인텔리전스(OSINT) 도구로 위장한 저장소를 통해 유포된다. 이 악성 저장소는 실제 개발자 프로젝트처럼 정교하게 구성돼 있으며, README 파일, AI로 생성된 시각 자료, 실행 가능한 기능 등을 통해 사용자의 의심을 피한다.

사용자는 정상적인 개발 툴인 줄 알고 몇 줄의 로더 코드를 실행하게 되는데, 이때 PyStoreRAT은 원격 HTML 애플리케이션 파일을 내려받아 윈도우 기본 기능인 'mshta.exe'를 통해 실행된다. 초기에 디스크 상에는 실행 파일이 존재하지 않기 때문에 전통적인 백신이나 기반 탐지 기술로는 포착이 어렵다.

감염 이후에는 호스트의 신원, 운영체제 정보, 설치된 보안 솔루션, 사용자 권한 수준 등의 정보를 수집해 C2(지휘통제) 서버에 등록한다. 특히 감시 회피 전략이 탁월하다. 모피섹에 따르면, 이 악성코드는 크라우드스트라이크(CrowdStrike) 팔콘(Falcon) 같은 엔드포인트 보안 도구가 동작 중일 경우 실행 경로를 변경하거나 활동을 중단해 스텔스성을 극대화한다.

지속성 확보 방식도 정교하다. ‘NVIDIA App SelfUpdate’라는 이름의 예약 작업을 생성해 부팅 시 혹은 10분 간격으로 실행되도록 설정함으로써 재부팅에도 생존할 수 있다. 명령 체계는 모듈화돼 있어 추가 페이로드를 다양하게 받아 실행할 수 있으며, 실행파일(EXE), DLL, MSI 설치파일, 파워셸 스크립트, HTA 파일 등 여러 형식을 지원한다.

심지어 USB를 통한 감염 확산도 가능하다. 이동식 저장장치에 존재하는 일반적인 파일을 악성 바로가기 파일로 대체해, 사용자가 해당 문서를 열려 하면 우선 악성코드가 실행되도록 구성됐다.

보고서를 작성한 모피섹의 연구원 요나탄 에드리(Yonatan Edri)는 “PyStoreRAT은 단순 악성코드가 아니라 보안 솔루션을 능동적으로 우회하는 모듈형 스크립트 기반 공격 도구로 진화하고 있다”고 설명했다. 그는 이어 “HTA와 자바스크립트를 통해 실행되고, 파이썬 기반 로더를 활용하며, 크라우드스트라이크 회피 로직까지 내장한 구조는 현존 탐지 체계를 혼란에 빠뜨릴 수 있다”고 경고했다.

이번 사례는 사이버 위협이 단순 실행 파일 탐지로는 충분히 방어되지 않는 시대가 도래했음을 시사하며, 보안 전문가들은 오픈소스 저장소 활용 시 반드시 파일 진위 여부를 검증하고, 스크립트 기반 명령 실행에 대해 보다 정밀한 모니터링 체계를 강화할 필요가 있다고 지적한다.