GitHub 유틸리티 도구 위장 악성코드 주의 – KISA 보안 권고 2026

구글이나 빙에서 IT 유틸리티 도구를 검색했다가 악성코드에 감염될 수 있다는 사실, 알고 계셨나요? 한국인터넷진흥원(KISA)이 2026년 3월 11일, GitHub를 악용한 악성코드 유포 주의보를 공식 발령했습니다. 특히 WinDbg, PsExec처럼 IT 현장에서 실제로 쓰이는 도구로 위장해 개발자와 IT 관리자를 노리고 있어 각별한 주의가 필요합니다.

이 글에서는 공격 방식부터 감염 징후 확인 방법, 그리고 감염 시 대처법까지 한 번에 정리합니다.

어떤 도구로 위장하고 있나요?

공격자는 IT 실무에서 자주 쓰이는 다음 도구들의 설치 파일로 위장한 악성 MSI 파일을 GitHub에 올려두고 있습니다.

• WinDbg – 윈도우 커널 디버깅 도구
• PsExec – 원격 프로세스 실행 도구 (Sysinternals)
• Tftpd64 – TFTP 서버·클라이언트 유틸리티
• Postman – API 테스트 도구
• BgInfo – 데스크탑에 시스템 정보 표시 도구

이 도구들은 개발자와 네트워크 관리자가 일상적으로 설치·사용하는 소프트웨어입니다. 파일 이름과 아이콘까지 정상 프로그램처럼 꾸며 놓아 육안으로 구별하기 매우 어렵습니다.

KISA 보호나라 보안 공지 바로가기 →

어떻게 검색 상위에 노출되나요? SEO 악용 수법

단순히 악성 파일을 올리는 것만으로는 피해자를 유인하기 어렵습니다. 이번 공격의 특징은 SEO(검색엔진 최적화) 기법을 악용했다는 점입니다.

공격자가 GitHub 저장소를 최적화해 Google·빙 검색 상위에 노출시키는 방식입니다.

• GitHub 저장소 이름·설명을 도구 공식 명칭으로 구성
• README 파일에 정상 다운로드 링크와 유사한 구조 사용
• GitHub의 높은 도메인 신뢰도를 이용해 검색 상위 노출

즉, 검색창에 “WinDbg 다운로드” 또는 “PsExec 설치”를 입력하면 공격자가 만든 가짜 GitHub 페이지가 상위에 뜨고, 정상 소프트웨어처럼 보이는 다운로드 버튼을 누르면 악성 MSI 파일이 받아집니다.

감염되면 어떤 일이 일어나나요?

악성 MSI 파일을 실행하면 다음과 같은 일이 순서대로 진행됩니다.

1. 설치 과정에서 악성코드 심기 – 정상 설치 화면을 보여주면서 백그라운드에서 악성 파일 설치

2. node.exe 기반 악성코드 실행 – %LOCALAPPDATA% 하위 랜덤 6자 디렉토리에 자리를 잡음

3. 이더리움 RPC 서버와 통신 – rpc.mevblock.io, eth.llamarpc.com 등 외부 서버로 비정상 네트워크 통신 발생

4. 레지스트리에 자동 실행 등록 – HKCU\Software\Microsoft\Windows\CurrentVersion\Run에 랜덤 이름 키 생성

5. 지속 감염 유지 – 컴퓨터를 재시작해도 악성코드가 자동으로 실행됨

프로세스 체인은 msiexec → cmd → node.exe 순서로 실행되며, 암호화폐 채굴, 개인정보 탈취, 원격 제어 등의 피해로 이어질 수 있습니다.

KISA 118 사이버 침해사고 신고센터 →

내 PC가 감염됐는지 확인하는 방법

다음 세 가지 항목을 직접 확인해보세요.

1. 수상한 디렉토리 확인

윈도우 탐색기에서 아래 경로를 입력하세요.

%LOCALAPPDATA%

영문 소문자 6자리 랜덤 이름의 폴더(예: abcdef, xk92mz)가 생겨 있고 그 안에 node.exe가 있다면 감염을 의심해야 합니다.

2. 레지스트리 자동 실행 항목 확인

실행창(Win+R)에서 regedit 입력 후 아래 경로로 이동하세요.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

정체불명의 랜덤 문자열 이름 키가 있고, 그 값이 %LOCALAPPDATA% 하위 경로의 node.exe를 실행하도록 되어 있다면 감염 징후입니다.

3. 프로세스 확인

작업 관리자(Ctrl+Shift+Esc)에서 node.exe 프로세스가 실행 중이고, 설치한 Node.js가 없다면 이상 징후로 봐야 합니다.

감염됐다면? 대처 방법

감염이 의심되거나 확인됐다면 다음 단계로 대응하세요.

• 인터넷 연결 즉시 차단 (랜케이블 분리 또는 Wi-Fi 끄기)
• 백신 소프트웨어로 전체 검사 실행 (최신 업데이트 필수)
• 감염 징후 발견 시 보호나라(www.boho.or.kr) 신고 또는 118 전화 문의
• 중요 파일은 외부 저장소에 백업 후 시스템 초기화 고려
• 사용하던 비밀번호 전체 변경 (다른 기기에서 진행)

보호나라 악성코드 신고하기 →

예방을 위해 지금 당장 할 수 있는 것들

사전 예방이 가장 중요합니다. 다음 수칙을 지켜 주세요.

• 공식 사이트에서만 다운로드 – GitHub 검색 결과를 무작정 믿지 말고, 공식 공급사 사이트를 직접 입력해서 접근
• 설치 파일 해시값 검증 – 공식 SHA256 해시값과 비교해 파일 무결성 확인
• 백신 실시간 감지 활성화 – 설치 직후 백신이 경고를 보낼 수 있으므로 반드시 활성화 상태 유지
• 윈도우·보안 소프트웨어 최신 업데이트 – 최신 패치로 취약점 차단
• EDR 솔루션 도입 검토 – 기업이라면 이상 프로세스를 실시간으로 탐지하는 EDR 솔루션 고려

자주 묻는 질문 (FAQ)

Q. GitHub에서 받은 파일이라도 위험할 수 있나요?

A. 네, 가능합니다. GitHub는 누구나 저장소를 만들 수 있어 악성 파일 배포에 악용됩니다. 공식 제공사 계정인지 반드시 확인하세요.

Q. 악성 MSI 파일을 실행했는데 아무 반응이 없었어도 감염된 건가요?

A. 정상 설치 화면이 표시되도록 설계된 경우도 있습니다. 위의 감염 징후 항목을 점검해보시기 바랍니다.

Q. node.exe가 원래 있던 파일이라면 어떻게 구별하나요?

A. 정상 Node.js는 보통 C:\Program Files\nodejs\에 설치됩니다. %LOCALAPPDATA% 하위 랜덤 폴더에 있다면 감염을 의심하세요.

Q. 신고하면 실제로 도움이 되나요?

A. 네. KISA는 신고된 정보를 바탕으로 악성 URL 차단, 백신사에 샘플 공유 등 조치를 취합니다. 피해 확산 방지에 직접 기여합니다.

Q. 스마트폰으로 GitHub에서 파일을 받았는데 괜찮은가요?

A. 이번 사례는 주로 윈도우 MSI 파일 대상이지만, 스마트폰에서도 출처 불명 APK 파일은 절대 설치하지 마세요.

이 글이 마음에 드세요?

RSS 피드를 구독하세요!