- 신규 위협 행위자 Armored Likho가 러시아·브라질·카자흐스탄 정부 기관과 전력 부문을 표적으로 활동 중인 것으로 처음 문서화됨
- 사용된 핵심 악성 도구는 BusySnake Stealer라는 인포스틸러 계열로 분류되며 데이터 탈취 기능을 중심으로 구성됨
- 이번 캠페인은 수익 동기와 사이버 첩보 동기가 결합된 하이브리드 위협 행태를 보이는 것으로 보고되며, 전력 부문 표적화에 따른 중요 인프라 보안 리스크 가능성을 제기함
단순 정보 탈취형 인포스틸러가 사이버 첩보 동기와 결합될 가능성이 보고됨에 따라, 정부와 에너지 부문의 보안 위협 경계가 어떻게 재편될 수 있는지 위협 인텔리전스 관점에서 살펴본다.
최근 사이버 위협 환경에서는 한 가지 동기에 국한되지 않는 행위자가 늘고 있다. The Hacker News가 2026년 7월 3일자로 보도한 보고서는 바로 이러한 변화의 정면을 보여준다. 이름도 알려지지 않았던 위협 그룹이 정부 기관과 전력 같은 전략 시설을 동시에 겨냥하면서, 인포스틸러라는 비교적 일반화된 도구를 첩보 활동의 출발점으로 활용하고 있기 때문이다. 이번 글에서는 Armored Likho로 명명된 신규 행위자와 BusySnake Stealer가 제기하는 보안 함의를 정리한다.
배경: 신규 위협 행위자 Armored Likho의 등장
이번 보고서에서 가장 눈에 띄는 부분은 행위자 자체가 글로벌 보안 커뮤니티에서 이전에 별도로 추적·문서화된 이력이 없다는 점이다. 위협 인텔리전스 보고에서는 새로운 그룹을 명명할 때 그 명칭이 임시 추적 코드인지, 업계 합의 명칭인지를 분명히 해야 한다. 현재 공개된 정보만으로는 Armored Likho가 특정 보안 업체의 내부 추적 명칭인지, 다수 기관의 합의로 자리 잡은 명칭인지 정확히 단정하기 어렵다.
이전 문서화 이력과 명명 배경
원문은 Armored Likho를 “이전에 문서화되지 않은 그룹”으로 표현하고 있다. 이는 공개된 정보 기준으로 과거 캠페인과의 직접적 연관성이 확인되지 않았음을 뜻한다. 따라서 같은 명칭을 단서로 과거 공격과 직접 묶어 해석하는 것은 신중해야 하며, 명칭 자체는 추후 추가 분석에 따라 변경·통합될 가능성이 있다.
이번 공개 보고가 갖는 의미
신규 행위자라 하더라도 즉시 관심을 받는 이유는 표적의 성격 때문이다. 정부 기관과 전력 부문을 동시에 표적으로 삼는 캠페인은 일반적으로보 탈취형 인포스틸러 캠페인과 분명히 구분된다. 인포스틸러가 처음부터 전략적 표적을 위해 설계되었다는 전제는 조심스럽지만, 표적 선정의 우선순위 자체가 행위자의 의도를 드러내는 단서가 된다.
공격 표적 범위와 지리적 분포
| 구분 | 내용 |
|---|---|
| 표적 국가 | 러시아, 브라질, 카자흐스탄 |
| 표적 섹터 | 정부 기관, 전력(electric power) 부문 |
| 공격 유형 | Infostealer 기반 사이버 첩보 |
| 핵심 악성코드 | BusySnake Stealer |
| 동기 | 수익 동기 + 사이버 첩보의 결합 |
러시아·브라질·카자흐스탄 정부 기관
표적 국가의 조합은 흥미로운 단서를 제공한다. 러시아, 브라질, 카자흐스탄은 지정학적으로나 에너지 자원 측면에서 서로 다른 위상을 가지지만, 공통적으로 자국 내 정부 기능과 산업 인프라의 디지털 전환이 빠르게 진행 중인 국가들이다. 이러한 국가는 외부 행위자가 접근할 수 있는 인증 정보, 정책 문서, 통신 메타데이터의 가치가 높게 평가될 수 있다.
전력·에너지 부문의 전략적 가치
전력 부문은 전통적으로 사이버 공격의 대표적인 전략 표적이다. 운영기술(OT) 환경과 정보기술(IT) 환경의 경계가 모호해지는 상황에서, 단일 엔드포인트의 침해가 곧 ICS 환경 접근의 출발점이 될 수 있다. Armored Likho 캠페인이 전력 부문을 명시적으로 포함한다는 점은, 초기 단계 침투 이후 표적 환경에 대한 추가 정찰 및 측면 이동이 가능하다는 가정으로 해석할 여지를 남긴다.
BusySnake 인포스틸러 기술 분석
악성코드 분류와 핵심 기능
BusySnake Stealer는 이름 그대로 인포스틸러 계열로 분류된다. 인포스틸러는 브라우저 저장 자격증명, 쿠키, 암호화폐 지갑 정보, 시스템 정보 등 다양한 사용자 데이터를 수집해 외부로 전송하는 방식으로 동작한다. 보도된 기능 범위는 원문에 명시된 분류를 중심으로 기술하되, 구체적인 코드 수준의 행위는 추가 분석 자료가 공개되어야 신뢰도 높은 기술 분석이 가능하다.
배포 경로와 감염 흐름 추정
현재 공개된 정보만으로는 초기 침투 경로(피싱, 드라이브 바이 다운로드, 유효 자격증명 활용 여부 등)를 확정하기 어렵다. 다만 인포스틸러 기반 캠페인에서 자주 관측되는 패턴은 피싱 메일, 악성 문서, 검색 엔진 최적화(SEO) 조작 페이지, 그리고 다크웹에서 거래되는 스틸러-as-a-Service와 같은 유통 모델이 포함된다. BusySnake가 이러한 일반화된 감염 흐름을 따르는지는 후속 공개 보고를 통해 확인될 것으로 보인다.
수익 동기와 첩보 활동의 결합
하이브리드 동기 모델의 이해
이 캠페인이 주목받는 이유는 인포스틸러라는 본래 수익 도구로 분류되는 악성코드가 전략 표적을 대상으로 사용되었다는 점이다. 일반적으로 인포스틸러는 다수의 개인 사용자에서 소액의 가치를 수집해 수익화하는 구조를 가진다. 반면 사이버 첩보 활동은 제한된 고가치 표적에서 인증 정보, 정책 문서, 내부 통신과 같은 무형 자산을 수집한다. 두 동기가 결합되면, 수집된 인증 정보가 곧 후속 침투와 측면 이동의 통로로 재활용될 가능성이 커진다.
중요 인프라와 ICS 위협으로의 확장 가능성
전력 부문이 표적에 포함된다는 점에서, BusySnake가 단순한 데이터 탈취 단계에 머물지 않을 가능성도 검토해야 한다. IT 환경에서 확보한 자격증명이 OT 환경과 공유되는 사례는 산업 제어 시스템(ICS) 침해사고에서 반복적으로 보고되어 왔다. 인포스틸러 단계가 곧 ICS 표적 공격의 초기 침투 벡터로 기능할 수 있다는 해석은, “확정된 사실”이라기보다 “보안 팀이 대비해야 할 시나리오”로 이해하는 것이 적절하다.
대응 권고 및 탐지 시사점
이번 캠페인에서 얻을 수 있는 실질적 시사점은 다음과 같이 정리할 수 있다. 첫째, 정부 기관과 에너지 기업은 일반 사용자 계정의 자격증명 유출을 단순 개인정보 침해 사례로만 다루어서는 안 된다. 동일한 자격증명이 내부 시스템 접근의 통로로 악용될 가능성을 전제해 다중 인증, 최소 권한 원칙, 그리고 이상 로그 모니터링을 강화해야 한다. 둘째, 인포스틸러는 이미 APT(지속적 위협) 행위자의 초기 침투 도구로 자리 잡았다는 점을 인식하고, 엔드포인트 탐지와 네트워크 행위 분석에서 인포스틸러 특유의 데이터 수집·전송 패턴을 탐지 규칙에 반영할 필요가 있다. 셋째, 전력·에너지 부문은 IT/OT 경계의 자격증명 사용에 대한 정기 점검과, 단일 계정의 남용 징후를 조기에 탐지할 수 있는 사용자 행위 분석(UBA) 체계를 함께 점검해야 한다.
핵심 정리
- Armored Likho는 정부 기관과 전력 부문을 동시에 겨냥하는 것으로 처음 공개된 신규 위협 행위자다.
- BusySnake Stealer는 인포스틸러 계열로 분류되며, 일반화된 데이터 탈취 기능을 가진다는 점에서 후속 침투의 통로로 활용될 가능성이 있다.
- 수익 동기와 사이버 첩보 동기가 결합된 하이브리드 위협 행태는 중요 인프라 보안의 새로운 평가 축을 요구한다.
- 자격증명 기반 측면 이동과 IT/OT 경계 보안 강화가 이번 사례로부터 도출되는 핵심 대응 과제다.
정리하면, Armored Likho와 BusySnake Stealer 사례는 인포스틸러라는 익숙한 도구가 전략 표적 앞에서 어떻게 재조명될 수 있는지를 보여준다. 아직 공개된 정보의 폭이 넓지 않아 단정적 결론을 내리기보다는, 후속 위협 인텔리전스 보고를 보완적으로 추적하면서 정부·에너지 부문의 자격증명 기반 보안 통제를 우선 점검하는 것이 현실적인 1차 대응이 될 것으로 분석된다.
참고 자료: The Hacker News – Armored Likho Targets Government Agencies, Power Sector with BusySnake Stealer, The Hacker News – PamStealer Uses Fake Maccy Sites and PAM Checks to Steal Mac Login Passwords