CPUID 공식 웹사이트 해킹을 통한 대규모 악성코드 유포 사태 발생
4/11/2026
토킹 포인트
- CPUID 사의 보조 API 취약점을 악용한 공식 웹사이트 다운로드 링크 변조 및 악성코드 주입.
- 약 6시간 동안 CPU-Z 및 HWMonitor 등 수백만 명이 사용하는 주요 유틸리티를 통한 유포 강행.
- 단순 실행 파일 변조를 넘어 메모리 상주 및 EDR 회피 기술을 적용한 고도화된 악성 로더 활용.
- 브라우저 저장 자격 증명 및 민감 데이터 탈취를 목적으로 한 전형적인 소프트웨어 공급망 공격 확인.
시황 포커스
- 공식 웹사이트를 통해 배포된 파일임에도 윈도우 디펜더 등 보안 프로그램이 즉각적으로 위협을 감지하여 차단한 사례가 다수 보고됨.
- 설치 과정에서 러시아어 인터페이스가 노출되는 등 일반적인 업데이트와 다른 이질적인 징후가 포착되어 사용자들의 주의를 환기함.
- 주요 개발자가 휴가 중인 시점을 노려 공격을 감행한 점으로 보아 치밀하게 계획된 표적 공격일 가능성이 높음.
- 과거 파일질라 공격과 동일한 인프라가 사용된 것이 확인되어 특정 해킹 집단에 의한 반복적 공급망 공격 패턴이 드러남.
- 단순한 도메인 신뢰를 넘어 배포 파일의 해시값을 직접 대조하는 보안 습관의 중요성이 시장 내에서 재조명됨.
- 전 세계적으로 약 150명 이상의 개인 및 제조, 통신, 농업 분야 기업 사용자가 직접적인 영향을 받은 것으로 집계됨.
- 침해 사고 발생 후 공식 대응까지의 공백기 동안 커뮤니티와 전문가들을 중심으로 경고 메시지가 신속하게 전파되어 피해 확산을 억제함.
- 감염된 시스템의 경우 단순 파일 삭제를 넘어 브라우저 저장 비밀번호 변경 및 다요소 인증(MFA) 활성화가 필수적인 상황임.
- 소프트웨어 배포 인프라의 취약성이 대중적인 유틸리티 시장 전체에 대한 신뢰도 하락으로 이어질 우려가 있음.
- 클라우드 저장소 서비스를 악용한 악성 파일 호스팅 수법이 더욱 정교해지고 있음을 시사함.
트렌드 키워드
- 공급망 공격 (Supply Chain Attack, Supply-chain Attack):
소프트웨어의 개발, 배포, 업데이트 과정을 가로채어 정상적인 제품에 악성 코드를 심어 유포하는 고도의 해킹 수법
1 / 3“공격자들은 도구 자체를 손상시키는 대신 배포 계층을 목표로 삼아 사용자가 신뢰할 수 있는 채널을 통해 트로이 목마 버전을 받도록 했습니다.공급망 공격” - DLL 사이드로딩 (DLL Sideloading):
합법적인 프로그램이 실행될 때 가짜 동적 링크 라이브러리 파일을 우선적으로 로드하게 만들어 악성 행위를 수행하는 기법
“변종 파일에는 합법적인 실행 파일과 함께 악성 제어 서버 연결을 담당하는 가짜 크립트베이스 파일이 포함되어 있었습니다.DLL 사이드로딩” - STX 원격 제어 트로이목마 (STX RAT):
감염된 시스템을 원격으로 제어하고 사용자의 정보를 무단으로 수집하여 전송하는 기능을 가진 악성 소프트웨어
“최종적으로 전달된 페이로드는 정보 탈취 기능을 갖춘 것으로 기록된 원격 제어 트로이목마로 확인되었습니다.STX 원격 제어 트로이목마” - 자격 증명 탈취 (Credential Theft):
웹 브라우저나 시스템에 저장된 아이디, 비밀번호, 암호화폐 지갑 정보 등을 무단으로 가로채는 행위
“이 악성코드의 궁극적인 목표는 데이터 탈취, 특히 브라우저에 저장된 자격 증명을 훔치는 것으로 파악되었습니다.자격 증명 탈취” - API 침해 (API Breach):
애플리케이션 프로그래밍 인터페이스의 보안 허점을 뚫어 시스템 내부 권한을 획득하거나 데이터를 조작하는 행위
“조사 결과 약 6시간 동안 보조 기능인 사이드 API가 침해되어 메인 웹사이트에 무작위로 악성 링크가 표시되었습니다.API 침해”