크리스마스에 찾아온 산타…아니, 산타스틸러

크리스마스 시즌을 맞아 해커들이 새로운 공격 도구를 준비해 판매하고 있다. 이름은 산타스틸러(SantaStealer)로, 시즌에 걸맞다고 할 수 있다. 이름에서 알 수 있듯 정보 탈취를 기본으로 하고 있으며, 현재 텔레그램 채널과 다크웹 해커 포럼을 통해 홍보되고 있다. 보안 기업 라피드7(Rapid7)이 이를 추적한 후 자사 블로그를 통해 그 결과를 발표했다.

“현재까지 분석된 내용을 봤을 때, 산타스틸러는 기존 정보 탈취 멀웨어인 블루라인스틸러(BlueLineStealer)의 후속작일 가능성이 높습니다. 아니면 같은 멀웨어를 이름만 달리 했을 수도 있습니다. 피해자의 컴퓨터에서 각종 문서와 크리덴셜, 암호화폐 지갑 정보, 각종 앱에 저장된 정보를 수집해 외부로 빼돌리는 기능을 가지고 있습니다. 메모리 내에서만 동작합니다.” 라피드7의 설명이다.

어떻게 홍보되고 있나?

공격자들은 현재 텔레그램 채널과 일부 해킹 포럼에서 산타스틸러를 판매하기 위해 애쓰고 있는 것으로 조사됐다. “러시아어로 된 포럼에서 주로 광고되고 있고, 산타스틸러 내에 러시아어 사용자들을 공격 대상에서 제외시킬 수 있는 기능이 포함돼 있는 것으로 보아 배후 세력은 러시아의 해커들일 가능성이 높아 보입니다.”

홍보 내용은 “탐지와 분석 기술을 회피할 수 있고, 정부 기관이나 대기업 등 보안이 삼엄한 곳이라도 침투할 수 있다”는 게 골자다. 한 마디로 침투력은 최상급인데 잘 들키지도 않는다는 것. 그러면서 다양한 가격 정책을 제시하고 있기도 하다. 여러 빌드 설정 옵션과 기능들 중 필요한 것을 어떻게 골라 담느냐에 따라 가격이 유연해질 수 있다는 건, 구매자들에게 꽤나 매력적으로 다가갈 수 있다. 아주 기본 기능만 사용한다면 한 달 175달러, 최상위 옵션으로 사용할 경우 한 달 300달러 정도다.

하지만 홍보 내용은 다소 부풀려져 있는 것이라고 라피드7은 말한다. “이미 저희도 몇 개 샘플을 확보했을 정도니, 탐지가 안 되는 건 아닙니다. 그리고 그 샘플들을 분석하는 것도 어렵지 않았습니다. 물론 산타스틸러가 아직 정식 출시된 게 아니라, 저희가 확보한 샘플이 미완성 단계에 있는 것일 수도 있습니다. 하지만 이 샘플들 안에는 ‘심볼 이름’과 ‘암호화 되지 않은 문자열’이 그대로 포함돼 있어, 아무리 미완성이라 하더라도 개발자 측에서 심각한 실수를 저질렀다고밖에 볼 수가 없습니다. 배후 세력이 누구인지 몰라도 대단히 전문적인 건 아닙니다.”

어떤 기능과 특징 가지고 있나?

라피드7이 분석했을 때 산타스틸러의 가장 큰 특징은 ‘모듈형’이라는 것이었다. 모든 기능들이 개별 모듈로서 존재하고 있었으며, 각 모듈은 메모리에서만 실행되도록 설계됐다. 따라서 기능 확장에 유리하고, 파일이 하드드라이브에 남지 않아 탐지가 어려워진다. 각 모듈이 서로 다른 정보를 동시에 수집한다면, 정보 탈취의 속도가 빨라지기도 한다. 각 모듈이 정상적으로만 작동한다면 이런 특징은 꽤나 큰 위협이 될 수 있다.

가상기계나 분석 환경을 미리 탐지하는 기능도 가지고 있었다. “실행 중인 프로세스 수를 확인하고, 시스템의 업타임을 검사합니다. 버추얼박스(VirtualBox) 서비스가 존재하는지도 살피고, 분석용 디렉토리 경로가 있는지도 알아냅니다. 블랙리스트 프로세스 이름이 있는지, 있다면 무엇인지도 파악하고, 시간을 기반으로 한 디버거 유무도 탐지합니다. 만약 가상기계나 디버거의 흔적이 발견되면 즉각 실행을 중단합니다.” 실제 산타클로스처럼 몰래 숨어들어가기 위한 기능들이 일단 존재하긴 한다는 것이다.

들어가서는 어떤 짓을 할까? 각종 정보를 훔친다.
1) 브라우저 크리덴셜(브라우저에 저장된 비밀번호), 쿠키, 방문 기록, 신용카드 정보 등
2) 텔레그램, 디스코드, 스팀 등 유명 플랫폼에서 정보 탈취
3) 브라우저에 설치된 플러그인들의 목록, 그 플러그인들에 저장된 데이터
4) 디스크에 저장된 각종 문서, 메모, 노트 등 민감 정보가 있을 만한 모든 파일
5) 사용자 화면 스크린샷 캡쳐

이런 정보들을 수집하면, 그 결과를 메모리 내에서 정리한다. 각 모듈은 수집한 파일 개수를 기록하며, 모든 결과를 log.zip 파일로 압축한다. 이 파일은 피해자 시스템 내 TEMP 디렉토리에 저장된다. “저장된 파일은 10MB 단위로 분할됩니다. 그런 후에 외부로 내보냅니다. 대용량 데이터도 이런 식으로 전송하기 때문에 안정적이며 탐지에도 잘 걸리지 않을 수 있습니다. 유출 시에는 6767 포트가 활용됩니다.”

라피드7의 총평

산타는 24~25일에 본격적으로 활동한다. 그 전은 예비 기간이다. 산타스틸러도 마찬가지다. 아직 정식 출시되기 전이며, 지금은 광고 기간이다. 이 때문에 대비할 시간은 충분히 확보돼 있다고도 볼 수 있다. “산타스틸러는 전형적인 중상급 정보 탈취형 멀웨어라고 할 수 있습니다. 모듈 구조나 브라우저 데이터 탈취 기능은 수준급이며, 정교한 면모까지 보입니다. 하지만 전체적인 은폐 기능이나 분석 방해 측면은 허술합니다. 탐지나 분석 모두 난이도가 낮습니다.”

은폐 기능이 낮다는 건 정보 탈취형 멀웨어에 있어 치명적 단점이다. 정보를 많이 탈취하려면 오랜 시간 들키지 않고 숨어 있어야 하기 때문이다. “이런 유형의 멀웨어들의 생명력은 ‘어떤 정보를 얼마나 잘 훔치느냐’이기도 하지만, ‘얼마나 들키지 않고 오래 버티느냐’이기도 합니다. 이 두 가지가 모두 확보돼야 해커들의 인기를 끕니다. 그런 의미에서 산타스틸러는 이름만 좀 그럴 듯 하지, 실질적인 위협이 되기는 힘들어 보입니다.”

그렇다고 산타스틸러를 아주 무시하는 것도 바람직한 건 아니라고 라피드7은 강조한다. 아직 개발 중이기 때문이다. 완성됐을 때 여태까지 발견된 단점들이 모두 보완되지 않으리라는 법이 없다. “산타스틸러는 2025년 말이나 2026년 초에 출시될 것으로 보입니다. 남은 기간 개발자들이 어떻게 개조하여 완성품을 만들어낼지는 아무도 모릅니다. 큰 위협으로 다시 태어날 수도 있고, 지금처럼 어설픈 작품으로 남을 수도 있습니다. ‘위협이 될지도 모른다’ 정도로 기억해 둘 만합니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• SantaStealer is Coming to Town: A New, Ambitious Infostealer Advertised on Underground Forums - Rapid7 Labs, 2025년 (BluelineStealer 리브랜딩, 메모리 기반 정보 탈취 및 Rapid7의 초기 분석 보고)
• New SantaStealer malware steals data from browsers, crypto wallets - BleepingComputer, 2025년 (Rapid7 분석을 인용해 브라우저·지갑 정보 탈취 및 MaaS 모델 상세 소개)
• SantaStealer Attacks Users to Exfiltrate Sensitive Information - Cyber Security News, 2025년 (모듈 구조, 메모리 내 수집, 10MB 청크 전송 등 기술 세부 내용 요약)
• SantaStealer bags credentials and crypto wallets - The Register, 2025년 (Rapid7 연구진 인터뷰를 통해 샘플 난독화 수준, 가격 정책, 초기 유포 양상 정리)

탈취된 정보를 실시간으로 열람하게 하는 새 멀웨어, 레이븐스틸러

💡Editor’s Pick - 새 정보 탈취 멀웨어, 레이븐스틸러 - 탈취한 정보를 공격자가 실시간으로 열람할 수 있어 - 불법 소프트웨어 다운로드 통해 확산 정보 탈취에 능하면서 동시에 흔적을 감추는 데도 뛰어난 새 멀웨어가 발견됐다. 이에 대해 처음 알린 보안 업체 포인트와일드(Point Wild)에 의하면 이 멀웨어의 이름은 레이븐스틸러(Raven Stealer)

The Tech Edge문가용 기자