인터넷 브라우저는 단순한 검색 도구를 넘어 이제는 우리의 디지털 신분증이자 개인 데이터 저장소로 자리 잡았습니다. 온라인 뱅킹, 쇼핑, 업무 로그인, 심지어 여행 예약까지도 모두 브라우저를 통해 이루어지며, 여기에 저장되는 비밀번호와 쿠키, 자동 완성된 카드 정보는 편리함과 동시에 엄청난 보안 위험을 내포합니다. 최근 사이버 보안 업계에서 발표된 신종 악성코드 Raven Stealer는 바로 이 부분을 정조준하고 있습니다.
본 글에서는 Raven Stealer가 무엇이며, 어떤 방식으로 작동하는지, 왜 구글 크롬(Chrome)과 마이크로소프트 엣지(Edge), 그리고 브레이브(Brave)와 같은 Chromium 기반 브라우저가 주요 타깃이 되는지를 심층적으로 분석합니다. 또한 사용자들이 실제로 취할 수 있는 보호 대책과 앞으로의 전망까지 종합적으로 다룹니다.
1. Raven Stealer란 무엇인가?
Raven Stealer는 정보 탈취형 악성코드(Infostealer)의 일종입니다. 전통적인 랜섬웨어처럼 데이터를 암호화해 금전을 요구하는 방식과는 달리, 사용자의 눈에 띄지 않게 데이터를 은밀히 수집하고 외부 서버로 전송하는 것이 특징입니다.
이 악성코드는 최소한의 사용자 개입만으로 설치가 가능하다는 점에서 위험성이 큽니다. 예를 들어,
- 크랙된 불법 소프트웨어 다운로드,
- 피싱 메일 첨부파일 실행,
- 보안이 허술한 포럼이나 커뮤니티에서 내려받은 프로그램 설치
이와 같은 단순한 행동만으로도 Raven Stealer가 사용자 PC에 침투할 수 있습니다. 일단 설치되면 백그라운드에서 조용히 동작하며, 사용자는 감염 사실을 거의 인지하지 못합니다.
2. 공격 대상: 왜 Chrome·Edge·Brave인가?
Raven Stealer가 노리는 대상은 공통적으로 Chromium 엔진 기반 브라우저입니다. 이는 구글이 만든 오픈소스 웹 엔진으로, 전 세계 수십억 명이 사용하는 크롬(Chrome)과, 윈도우에 기본 탑재된 엣지(Edge), 그리고 개인정보 보호를 강조하는 브레이브(Brave)가 모두 이 엔진 위에서 작동합니다.
Chromium 엔진은 전 세계적으로 가장 널리 사용되는 구조이기 때문에 공격자 입장에서는 한 번에 최대한 많은 피해자를 노릴 수 있는 효율적 타깃이 됩니다. 게다가 이들 브라우저는 사용자 편의를 위해 자동 로그인, 비밀번호 저장, 결제 카드 정보 저장 기능을 지원하는데, 바로 이 지점이 Raven Stealer의 먹잇감이 되는 셈입니다.
3. Raven Stealer의 작동 방식
Raven Stealer의 동작 원리를 단계별로 살펴보면 다음과 같습니다.
- 감염 – 사용자 PC에 침투 (피싱 메일·불법 소프트웨어·포럼 다운로드 등).
- 탐색 – 브라우저 내의 비밀번호 저장소(Login Data 파일 등)에 접근.
- 복호화 시도 – 해당 파일은 일반적으로 OS와 브라우저가 제공하는 암호화 키로 보호되는데, Raven Stealer는 로컬 키를 찾아내어 암호화를 풀고 데이터 평문을 획득.
- 압축 – 수집한 데이터를 .zip 파일 형태로 정리.
- 전송 – 최종적으로 이 압축 파일을 Telegram 메신저를 통해 공격자의 계정으로 보냄.
특히 Telegram은 종단 간 암호화를 지원하기 때문에, 기업 보안망이나 백신 프로그램에서도 탐지하기 어렵습니다. 이 점 때문에 보안 전문가들은 Raven Stealer를 "조용하지만 치명적인 데이터 흡혈귀"라 부르고 있습니다.
4. 피해 규모와 잠재적 위험
Raven Stealer가 유출할 수 있는 정보는 상상을 초월합니다.
- 비밀번호도난: 이메일, 클라우드, 은행, 기업 내부 시스템 계정까지 모두 노출.
- 개인정보유출: 이름, 주소, 전화번호 등 자동 완성 데이터가 포함.
- 금융 정보: 신용카드 번호, 결제 내역, 쿠키 세션을 통한 무단 결제.
- 브라우저보안 위협: 북마크, 방문 기록까지 탈취 → 사회공학적 공격(스피어피싱)에 활용.
- 기업 보안 붕괴: 원격근무 환경에서 직원 PC가 감염되면, 회사 내부망까지 위험에 노출.
결국, 개인뿐 아니라 기업과 공공기관 전체가 잠재적 피해자가 될 수 있습니다.
5. 전문가의 경고
NordPass의 책임자 Karolis Arbaciausias는 인터뷰에서 이렇게 강조했습니다.
“이 악성코드는 사용자가 신뢰하는 브라우저 저장소를 정조준합니다. 겉으로는 암호화돼 안전해 보이지만, 공격자는 이를 풀어내고 외부로 전송할 수 있습니다.”
이 경고는 결국 우리가 의존해 온 ‘브라우저 내장 비밀번호 저장 기능’이 더 이상 안전하지 않을 수 있다는 불편한 진실을 보여줍니다.
6. 사용자 보호 대책
그렇다면 Raven Stealer 같은 위협에 맞서 우리는 어떤 대책을 세워야 할까요?
(1) 비밀번호 관리자 사용
전문적인 비밀번호 관리자(Password Manager)는 브라우저와 분리된 자체 암호화 데이터베이스를 사용합니다. 따라서 크롬보안이 뚫리더라도, 엣지보안이 무력화되더라도, 데이터는 별도 저장소에서 안전하게 보호됩니다.
(2) 이중 인증(2FA) 활성화
설령 비밀번호도난이 발생하더라도, OTP·SMS 코드·보안 키 등의 이중 인증이 추가 방어막이 됩니다.
(3) 소프트웨어 정품 사용 및 업데이트
불법 소프트웨어는 감염의 주요 경로입니다. 항상 정품 프로그램만 설치하고, 크롬·엣지·운영체제를 최신 버전으로 유지해야 합니다.
(4) 의심스러운 링크 주의
피싱 메일과 메시지는 여전히 최대 전염 경로입니다. 발신자가 불분명한 파일이나 링크는 절대 열지 말아야 합니다.
(5) 계정 모니터링
로그인 시도 알림, 금융 거래 내역을 주기적으로 확인하고 이상 징후를 빠르게 파악해야 합니다.
7. Telegram이 선택된 이유
Telegram은 보안성과 익명성을 앞세운 메신저로, 전 세계에서 수억 명이 사용합니다. 그러나 이 장점이 역설적으로 사이버 범죄자들에게도 매력적으로 다가옵니다.
- 종단 간 암호화: 탐지가 어렵다.
- 대용량 파일 전송 가능: .zip 파일 전송에 용이하다.
- 익명 계정 생성 가능: 추적 회피가 쉽다.
즉, Raven Stealer는 피해자의 데이터를 조용히, 빠르게, 안전하게 외부로 빼돌릴 수 있는 채널로 Telegram을 선택한 것입니다.
8. 다른 악성코드와 비교했을 때의 특징
- 랜섬웨어: 데이터를 암호화하고 금전을 요구 → 사용자 즉각 인지.
- 트로이목마: 시스템 파괴 및 장악 목적 → 흔적 뚜렷.
- Raven Stealer: 단순히 정보만 빼내고 조용히 사라짐 → 피해자가 눈치채지 못함.
이 때문에 보안 업계에서는 Raven Stealer 같은 ‘스텔스형 위협’이 앞으로 더 늘어날 것으로 우려합니다.
9. 결론: 더 이상 남의 일이 아니다
Raven Stealer는 단순한 신종 악성코드가 아닙니다. 인터넷 사용 습관 전체를 뒤흔드는 경고이자, “브라우저에 저장된 데이터가 과연 안전한가?”라는 근본적인 질문을 던지고 있습니다.
앞으로의 보안 패러다임은 단순한 백신 설치를 넘어,
- 비밀번호 관리 체계 개선,
- 다단계 인증 확대,
- 기업 보안 교육 강화로 나아가야 합니다.
개인 사용자는 물론, 기업과 공공기관 역시 경각심을 갖고 대비해야 할 때입니다. Raven Stealer가 남긴 메시지는 분명합니다.
“편리함 뒤에는 항상 위험이 숨어 있다.”
