Remus Stealer

최근 발견된 정보 탈취 악성코드인 REMUS가 빠른 개발 속도, 확장되는 기능, 그리고 전문적인 서비스형 악성코드(MaaS) 운영 방식과의 유사성으로 인해 사이버 범죄 생태계 전반에서 상당한 주목을 받고 있습니다. 보안 연구원과 악성코드 분석가들은 이미 REMUS와 널리 알려진 Lumma Stealer 사이의 유사점을 지적했는데, 특히 브라우저 타겟팅 기법, 자격 증명 탈취 메커니즘, 그리고 암호화 우회 기능에서 유사점이 두드러집니다.

2026년 2월 12일부터 5월 8일 사이에 REMUS 작전과 관련된 128개의 지하 게시물을 분석한 결과, 사이버 범죄 조직 내에서 악성 소프트웨어가 어떻게 마케팅, 유지 관리 및 운영되었는지에 대한 귀중한 통찰력을 얻을 수 있었습니다. 수집된 자료에는 광고, 기능 발표, 업데이트 로그, 고객 커뮤니케이션 및 운영 관련 논의가 포함되어 있어 연구원들은 플랫폼의 진화를 추적하고 개발을 주도한 우선순위를 파악할 수 있었습니다.

이번 조사 결과는 단순한 정보 탈취 캠페인 이상의 의미를 지닙니다. REMUS는 사이버 범죄 경제 내에서 일어나고 있는 광범위한 변화를 보여줍니다. 악성 소프트웨어 운영 업체들이 지속적인 업데이트, 고객 지원, 운영 최적화, 그리고 장기적인 수익 창출 전략을 통해 합법적인 소프트웨어 회사와 점점 더 유사해지고 있다는 것입니다.

공격적인 개발 주기는 성숙한 MaaS 운영을 나타냅니다.

REMUS 작전은 이례적으로 압축적이고 매우 공격적인 개발 일정을 보여주었습니다. 운영진은 정적인 악성코드 제품을 홍보하는 대신, 불과 몇 달 만에 지속적으로 개선 사항, 수집 기능 강화 및 관리 기능을 출시했습니다.

2026년 2월, 해당 악성코드는 최초로 상업적으로 배포되었습니다. 초기 홍보는 사용 편의성, 브라우저 자격 증명 탈취, 쿠키 수집, 디스코드 토큰 탈취, 텔레그램 전송, 로그 관리 기능 등을 집중적으로 강조했습니다. 마케팅 문구는 신뢰성과 접근성을 강력하게 부각했으며, 효과적인 암호화 및 중간 서버 인프라와 결합했을 때 약 '90%'의 콜백 성공률을 달성한다고 주장했습니다. 또한, '연중무휴 24시간 지원'과 간소화된 사용성을 내세워 상업화와 고객 경험을 처음부터 최우선 과제로 삼았음을 시사했습니다.

2026년 3월은 해당 캠페인의 가장 활발한 개발 단계였습니다. 이 기간 동안 악성코드는 단순한 자격 증명 탈취를 넘어 더욱 광범위한 운영 플랫폼으로 확장되었습니다. 업데이트를 통해 토큰 복구 기능, 작업자 추적, 통계 대시보드, 중복 로그 필터링, 로더 가시성 개선, 그리고 향상된 텔레그램 전송 워크플로가 도입되었습니다. 여러 발표는 데이터 탈취에만 초점을 맞추기보다는 캠페인 관리 및 운영 모니터링에 특히 중점을 두었으며, 이는 확장성과 관리 용이성을 향한 전략적 변화를 시사합니다.

2026년 4월에는 세션 연속성과 브라우저 측 인증 기록 보존에 대한 더욱 강력한 강조점이 드러났습니다. 이번 업데이트에는 SOCKS5 프록시 호환성, 가상 머신 방지 기능, 게임 플랫폼 타겟팅, 강화된 토큰 복구 기능, 그리고 암호 관리자 관련 데이터 수집 메커니즘이 추가되었습니다. 특히, 1Password 및 LastPass와 관련된 브라우저 확장 프로그램을 대상으로 하는 IndexedDB 데이터 수집에 대한 내용이 명시적으로 언급되었으며, Bitwarden 관련 검색에 대한 내용도 포함되었습니다. 이러한 변화는 단순히 사용자 이름과 암호를 수집하는 것보다 인증된 접근 권한을 유지하는 데 더욱 중점을 두고 있음을 보여줍니다.

2026년 5월 초, 캠페인은 급속한 확장 단계에서 운영 안정화 단계로 전환되는 듯 보였다. 남은 업데이트는 주로 버그 수정, 최적화 작업, 복구 기능 개선 및 관리 기능 향상에 집중되었는데, 이는 플랫폼이 유지 관리 및 확장성 단계에 진입했음을 시사한다.

Lumma를 넘어: REMUS, 상업용 사이버범죄 수사 서비스로 진화

공개된 보도에 따르면 REMUS는 Lumma Stealer의 기술적으로 중요한 후속 버전 또는 변종으로 자주 언급되었습니다. 분석가들은 이 멀웨어가 브라우저 중심의 자격 증명 탈취, 가상 머신 방지 검사, 암호화 우회 기능 등 Lumma와 여러 특징을 공유하는 64비트 정보 탈취 멀웨어라고 설명했습니다.

하지만 지하에서 오가는 정보에 따르면 이 작전은 단순히 기술적 계보를 넘어 훨씬 더 광범위한 영역에 걸쳐 있는 것으로 보입니다. REMUS 운영진은 해당 악성 소프트웨어를 지속적인 업데이트, 운영 개선, 고객 지원 및 확장된 데이터 수집 기능을 제공하는 전문적으로 관리되는 사이버 범죄 제품으로 일관되게 홍보했습니다. 이러한 홍보 방식은 버전 관리, 문제 해결 및 기능 로드맵이 고객 유지에 중요한 역할을 하는 합법적인 소프트웨어 개발 환경과 매우 유사합니다.

배송 성공률, 운영 신뢰성 및 인프라 최적화에 대한 반복적인 강조는 잠재적 구매자와 제휴사 간의 신뢰를 구축하려는 분명한 노력을 보여주었습니다. REMUS는 독립적인 악성코드 실행 파일로 기능하기보다는 지속적인 사이버 범죄 활동을 지원하도록 설계된 확장 가능한 범죄 플랫폼으로 점차 자리매김했습니다.

세션 탈취가 기존의 자격 증명 탈취보다 더 가치 있어지고 있다

REMUS 캠페인 전반에 걸쳐 관찰된 가장 중요한 주제 중 하나는 세션 도용 및 인증된 액세스 연속성에 대한 중요성이 점점 더 강조되고 있다는 점이었습니다.

과거에는 많은 정보 탈취 악성 프로그램들이 주로 사용자 이름과 비밀번호를 수집하는 데 집중했습니다. 그러나 REMUS는 브라우저 쿠키, 인증 토큰, 활성 세션, 프록시 지원 복구 워크플로, 브라우저에 저장된 인증 관련 정보 등을 우선적으로 노렸습니다. 초기 홍보 자료부터 인증 세션 처리는 이 악성 프로그램의 주요 장점 중 하나로 강조되었습니다.

이러한 추세는 사이버 범죄 시장 전반에 걸친 광범위한 변화를 반영합니다. 탈취된 인증 세션은 다단계 인증, 기기 확인, 로그인 경고 및 위험 기반 인증 시스템을 우회할 수 있기 때문에 점점 더 가치가 높아지고 있습니다. 공격자들은 단순히 탈취한 자격 증명에만 의존하여 향후 로그인을 시도하는 대신, 이미 인증된 환경에 직접 접근하려는 시도를 점점 더 많이 하고 있습니다.

REMUS 업데이트에서는 특히 토큰 복원 워크플로우 중 복원 기능, 프록시 호환성 및 다양한 프록시 유형 지원이 강조되었습니다. 이러한 기능은 세션 지속성이 악성코드 운영 전략의 핵심 요소였음을 강력하게 시사합니다.

이번 공격 캠페인은 디스코드, 스팀, 라이엇 게임즈, 텔레그램 연동 서비스 등 활성 세션의 가치가 특히 높은 플랫폼을 표적으로 삼았습니다. 광범위한 쿠키 수집 및 복원 기능과 결합된 이 악성코드는 단순히 자격 증명을 탈취하는 데 그치지 않고 인증된 접근 권한을 유지하고 이를 실행에 옮기도록 설계된 것으로 보입니다.

비밀번호 관리자와 브라우저 저장소가 주요 공격 대상이 되고 있다

캠페인의 후반부에서 가장 중요한 발전 중 하나는 비밀번호 관리 시스템과 연동되는 브라우저 측 저장소 기능이었습니다. 2026년 4월까지 REMUS 통신 사업자들은 Bitwarden, 1Password, LastPass, IndexedDB 등의 브라우저 저장소 메커니즘과 연결된 기능을 광고했습니다.

최신 암호 관리자는 자격 증명, 인증 토큰 및 민감한 계정 정보를 고도로 집중적으로 저장하는 저장소이므로 사이버 범죄 조직의 공격 대상이 되기 쉽습니다. 특히 IndexedDB 관련 문제는 최신 브라우저 확장 프로그램과 웹 애플리케이션이 세션 정보 및 애플리케이션 데이터를 유지하기 위해 로컬 브라우저 저장소를 자주 사용하기 때문에 더욱 중요합니다.

분석된 게시물들은 암호 저장소 암호 해독 성공이나 암호 관리자의 직접적인 침해를 독립적으로 입증하지는 못하지만, REMUS 개발 방향이 암호 관리 환경과 관련된 브라우저 측 저장소 아티팩트 수집으로 전환되었음을 분명히 보여줍니다.

REMUS는 현대 사이버 범죄의 전문화를 강조합니다.

REMUS 캠페인은 현대 MaaS 생태계가 어떻게 점점 더 구조화된 소프트웨어 기업과 유사해지는지를 보여주는 흥미로운 사례입니다.

분석된 지하 통신망 전반에 걸쳐 운영자들은 버전별 업데이트, 문제 해결 지침, 버그 수정, 기능 개선, 통계 개선 및 운영 가시성 향상에 대한 내용을 일관되게 게시했습니다. 작업자, 대시보드, 로그 분류, 로더 모니터링 및 관리 가시성에 대한 언급은 전문화된 운영 역할을 가진 다중 운영자 환경이 존재함을 시사합니다.

REMUS의 전문화된 MaaS 구조의 주요 지표는 다음과 같습니다.

• 지속적인 기능 개발 및 버전 관리 기반 업데이트 주기
• 고객 중심 지원 및 사용성 개선
• 운영 대시보드, 작업자 추적 및 통계 모니터링
• 지속적인 접근을 위해 설계된 세션 복원 워크플로
• 비밀번호 관리 시스템과 연동된 브라우저 측 저장소 타겟팅

REMUS는 정보 탈취 작전의 미래 방향을 반영합니다.

REMUS 작전은 현대의 정보 탈취범들이 단순한 자격 증명 탈취를 넘어 지속성, 자동화, 확장성 및 장기적인 수익 창출을 위해 구축된 포괄적인 운영 플랫폼으로 빠르게 진화하고 있음을 보여줍니다.

불과 몇 달 만에 이 캠페인은 단순한 악성코드 유포에서 운영 안정성, 인증된 세션 유지, 확장 가능한 데이터 수집 기능을 강조하는 성숙한 MaaS(Mobility as a Service) 생태계로 전환되었습니다. 토큰 복구, 프록시 지원 세션 복구, 브라우저 측 인증 아티팩트에 대한 관심 증가는 사이버 범죄 운영 방식이 단순히 비밀번호 탈취에서 벗어나 인증된 환경에 대한 지속적인 접근을 유지하는 방향으로 나아가고 있음을 보여줍니다.

REMUS 캠페인에서 몇 가지 더 광범위한 함의가 드러납니다.

• 인증된 세션이 개별 자격 증명보다 더 가치 있어지고 있습니다.
• 브라우저 측 저장소 및 비밀번호 관리자 생태계가 점점 더 공격 대상이 되고 있습니다.
• MaaS 운영 방식은 이제 구조와 워크플로 측면에서 합법적인 소프트웨어 기업과 유사합니다.
• 사이버 범죄 조직에게 있어 운영 확장성과 지속성은 점점 더 중요한 우선순위가 되고 있습니다.

REMUS 캠페인은 궁극적으로 중요한 사이버 보안 현실을 다시 한번 확인시켜 줍니다. 즉, 위협 행위자들이 악성코드 생태계를 어떻게 상업화하고, 운영하고, 확장하는지 이해하는 것이 악성코드 자체를 분석하는 것만큼이나 중요해지고 있다는 것입니다.