본문 바로가기
보안

위협 차단됨 Behavior:Win64/LummaStealer.A 이게 도대체 뭔가요??? (악성코드)

모노파39 2025. 11. 9. 10:17
안녕하세요, 전산실 아저씨입니다. 어느날 갑자기 컴퓨터를 하다 위협차단 됨이라는 경고창을 보고 컴퓨터가 왜이런지 정말 당황스럽죠. "이게 대체 뭐지?", "바이러스인가?", "삭제했다는데 왜 또 뜨지?" 하는 생각에 걱정이 많으셨을 겁니다.

룸마스틸러 악성코드 경고창

경고창에는. 'Behavior:Win64/LummaStealer.A'와 같이 보이는데요 이는 실제 심각한 악성코드에 '감염'된 상황입니다.

[정체] Behavior:Win64/LummaStealer.A란 무엇인가요?

이름이 매우 생소하실 텐데요. LummaStealer(룸마스틸러)매우 위험한 '정보 탈취형' 악성코드(트로이목마)입니다. 만약 이 악성코드가 시스템에서 제대로 활동하게 되면 다음과 같은 끔찍한 피해가 발생할 수 있습니다.

  • 웹 브라우저(크롬, 엣지 등)에 저장된 모든 비밀번호, 쿠키, 자동 완성 정보 탈취
  • 개인 PC에 설치된 암호화폐 지갑 파일 및 관련 정보 탈취
  • 시스템에 저장된 각종 민감한 문서, 사진 등 개인 파일 유출
  • 공격자의 명령을 받아 추가적인 악성코드(랜섬웨어 등)를 설치하는 통로가 됨

특히 경고창에 붙은 'Behavior:'라는 접두사의 의미도 중요합니다. 이는 윈도우 디펜더가 이 파일의 모양(시그니처)만 보고 잡은 것이 아니라, 이 프로그램이 실행되면서 실제로 정보 탈취와 유사한 '악의적인 행동'을 시도하는 것을 포착하고 차단했다는 의미입니다. 즉, 이미 위험한 활동을 시도했다는 뜻이죠.

[증상] 왜 삭제해도 계속 경고가 뜨나요?

경고창에는 '제거됨' 또는 '격리됨'이라고 표시되는데도 컴퓨터를 켤 때마다, 계속 경고가 뜬다면, 이는 악성코드가 완전히 제거되지 않고 시스템 어딘가에 숨어있기 때문입니다.

악성코드는 생존력을 높이기 위해 다음과 같은 방식을 사용합니다.

  • 윈도우 시작 프로그램이나 예약된 작업에 자신을 등록하여 부팅 시마다 다시 실행됩니다.
  • 악성코드의 본체(LummaStealer) 외에, 이 본체를 다시 다운로드하거나 실행하는 '드롭퍼(Dropper)'라는 또 다른 파일을 숨겨두었을 수 있습니다.
  • 디펜더가 탐지한 파일은 '꼬리'일 뿐이고, '몸통'은 다른 곳에 숨어 시스템을 계속 감염시킬 수 있습니다.

[원인] 주 감염 경로는 무엇인가요?

그렇다면 이런 악성코드는 대체 어디서 감염되는 것일까요? 주된 경로는 다음과 같습니다.

토렌트 로고

  • 불법 소프트웨어, 크랙(Crack) 파일: 가장 흔한 경로입니다. 토렌트나 P2P 사이트, 의심스러운 자료실에서 받은 유료 프로그램의 크랙 파일에 악성코드가 포함된 경우가 많습니다.
  • 의심스러운 이메일 첨부파일: '견적서', '이력서', '저작권 위반 고지' 등으로 위장한 이메일의 압축파일(.zip, .egg)이나 문서 파일(.pdf, .docx로 위장)을 열었을 때 감염될 수 있습니다.

[해결] 어떻게 완벽하게 해결해야 할까요?

사실상 일반 사용자가 숨어 있는 악성코드를 찾아서 핀포인트로 삭제한다는 건 어려운 일이고 찝찝함이 남아 계속 걱정만 될 뿐입니다.

1. 가장 안전하고 확실한 해결책: 윈도우 클린 설치 (강력 권장)

LummaStealer와 같은 정보 탈취형 악성코드는 시스템 깊숙이 숨어들어 어디에 어떤 백도어를 심어놓았을지 알 수 없습니다. '완벽한 치료'를 장담하기 매우 어렵습니다. 따라서 가장 확실하고 유일하게 안전한 방법은 윈도우를 완전히 새로 설치(포맷 후 클린 설치)하는 것입니다.

  1. 중요 파일 백업: 먼저 외장 하드나 USB에 사진, 문서 등 중요한 개인 파일만 백업합니다.
    (주의!) 이전에 사용하던 프로그램 설치 파일(.exe), 압축 파일(.zip), 크랙 파일 등은 절대 백업해서는 안 됩니다. 백업한 파일도 윈도우 재설치 후 반드시 다시 한번 바이러스 검사를 해야 합니다.
  2. 윈도우 클린 설치: 마이크로소프트 공식 홈페이지에서 USB 설치 디스크를 만들어, 하드 드라이브를 완전히 포맷하고 윈도우를 새로 설치합니다.
  3. 모든 비밀번호 즉시 변경: 윈도우 설치 직후, 깨끗해진 PC에서 즉시 감염되었던 PC로 접속했던 모든 웹사이트(네이버, 구글, 은행, 게임, SNS 등)의 비밀번호를 변경해야 합니다. 이미 정보가 유출되었을 가능성을 염두에 두어야 합니다.

 

마지막으로..

어설픈 치료 프로그램이나 "이거 한번 해보세요" 식의 잘못된 정보에 시간과 돈을 낭비하지 마세요. 이미 '행동' 기반으로 탐지되었다는 것은 악성코드가 활동을 시작했다는 뜻입니다.

가장 중요한 것은 데이터를 안전하게 백업하고, 윈도우를 새로 설치한 뒤, 모든 계정의 비밀번호를 바꾸는 것입니다. 이것이 여러분의 소중한 정보를 지키는 가장 확실한 길입니다. 꼭 전문가의 도움을 받으시거나, 직접 클린 설치를 단호하게 진행하시길 바랍니다. ^^

저작자표시 비영리 변경금지 (새창열림)

'보안' Related Articles

티스토리툴바