악성코드 '비다르', 텔레그램·스팀까지 뚫는다…암호화폐·2FA 정보도 탈취

김민준 기자

2025.09.04 (목) 21:15

정보 탈취형 악성코드 비다르가 텔레그램 기반 C2 서버 등으로 급속 확산되며 암호화폐 지갑과 민감 정보를 탈취하고 있다. 전문가들은 통합 보안 전략의 재정비를 촉구했다.

악성코드 '비다르', 텔레그램·스팀까지 뚫는다…암호화폐·2FA 정보도 탈취 / TokenPost.ai

정보 탈취형 악성코드 ‘비다르(Vidar)’가 다시 사이버 범죄자들 사이에서 급속도로 확산되고 있다. 보안 기술업체 아라야카(Aryaka)의 보고서에 따르면, 비다르는 배포와 작동이 까다롭지 않아 해킹 기술이 부족한 범죄자들까지도 손쉽게 활용하고 있으며, 이로 인해 개인은 물론 기업까지 여러 방면에서 피해를 입고 있다.

비다르는 2018년 처음 등장한 이후 악성코드 ‘아르케이(Arkei)’의 변종으로 진화했으며, 현재는 모듈형 구조를 갖춘 독립형 플랫폼으로 자리매김하고 있다. 사용자 모르게 시스템에 침투해 브라우저 쿠키와 로그인 정보, 결제 정보는 물론 암호화폐 지갑, 2단계 인증 앱 데이터, 메신저 인증 토큰 등 민감한 정보를 대거 수집한다.

악성메일 피싱, 허위 소프트웨어 업데이트 광고, 드라이브 바이 다운로드 등 일반 이용자의 일상과 매우 유사한 수단으로 유포되는 것이 특징이다. 일단 침투하면 PowerShell 기반 스크립트를 통해 정보를 외부 서버에 전송하며, 이 과정에서 사용자 시스템의 보안 기능을 단계적으로 해제하고 지속적으로 활동이 가능하도록 자동명령 작업도 설정한다.

또한 msbuild.exe와 같은 정상적인 윈도우 프로세스에 자신을 주입하거나, 암호화 이전의 브라우저 데이터를 탈취하는 방식으로 정보 유출을 감행한다. 특히 C2(Command and Control) 서버는 텔레그램과 스팀의 사용자 프로필을 통해 동적으로 설정되기 때문에 추적이 매우 어렵다.

아라야카 측은 비다르의 가장 큰 강점으로 ‘다층적 회피 전략’을 꼽았다. 이는 마이크로소프트의 악성코드 검사 인터페이스 우회, 프로세스 주입, API 훅킹, TLS 암호화 전송을 이용한 은폐 기술로 구성되며, 시그니처 기반이나 행위 기반 보안 시스템 모두를 속일 수 있는 수준이다. 특히 암호화 전 민감 정보를 가로채고, C2 인프라를 실시간으로 은폐하는 기술은 사이버 금융 범죄자에게 있어 강력한 무기로 작용하고 있다.

전문가들은 이러한 위협에 대응하기 위해 기업들이 보안 전략을 전면적으로 재정비해야 한다고 강조한다. DNS 필터링, 애플리케이션 인지형 방화벽, 보안 웹 게이트웨이, 침입 탐지 시스템, 엔드포인트 제어 기술을 포함한 다중 방어 체계(SASE) 도입이 최선의 대응책으로 제시된다.

비다르처럼 손쉽게 활약하며 잠재적인 피해 규모가 큰 악성코드는 점점 더 정교해지고 있다. 사이버 보안의 핵심이 수동적인 방어에서 선제적이고 통합된 대응으로 옮겨가고 있는 이유다.

뉴스를 실시간으로...토큰포스트 텔레그램 가기

광고문의 기사제보 보도자료

#악성코드 #사이버보안 #암호화폐지갑탈취 #피싱 #텔레그램 #C2서버 #보안전략 #SASE