Hola 브라우저 충격 실태: 인증 통과한 설치 파일 속 ‘유령 채굴기’의 전말

설치 후 악성코드는 다음과 같은 의도적인 일련의 작업을 통해 지속성을 확보했습니다.

• 파일 배치: 채굴기는 자신을

  C:\Program Files\Hola\HolaMonitorService.exe

  에 복사했습니다. 이 경로와 파일명은 합법적인 브라우저 모니터링 구성 요소처럼 보이도록 의도된 것입니다 .
• 서비스 생성: hola_monitor_svc라는 이름의 윈도우 서비스를 만들고 시작 유형을 0x00000002로 구성하여 시스템이 부팅될 때마다 자동으로 실행되도록 했습니다 .
• 디펜더 회피: 윈도우에 내장된 바이러스 백신 검사를 우회하기 위해 윈도우 디펜더(Windows Defender)의 예외 경로를 추가했습니다 .
• 난독화 및 위장: me.exe 바이너리는 디지털 서명이 없고 난독화되어 있으며 유효한 타임스탬프도 없었습니다. 보안 연구원들은 파일 이름 자체가 눈에 띄지 않아 일반 프로세스 사이에 섞이도록 의도적으로 선택된 것으로 보인다고 지적했습니다 .

광범위하지는 않지만 심각한 공격 표면

이번 침해의 범위는 비교적 좁았습니다. 소포스는 Hola 브라우저 사용자의 약 0.1% 가 영향을 받은 것으로 추정했습니다 . 비록 사용자 기반의 극히 일부에 불과하지만, 이 사건은 신뢰하는 소프트웨어 유통 채널이 사용자에게 등을 돌려 공식 설치 프로그램에 대한 일반적인 보안 검증을 무력화시킨 전형적인 공급망 공격 사례입니다.

이 공격은 Hola의 소스 코드 자체가 해킹된 것은 아닙니다. 대신 소프트웨어 빌드 및 릴리스 파이프라인의 취약점을 여실히 보여줍니다. 개발자가 클린 코드를 작성하더라도 컴파일, 패키징, 배포 과정 중에 발생한 침해가 최종 제품을 오염시킬 수 있다는 교훈을 남긴 것입니다 .

Hola의 대응과 남겨진 의문점

소포스 X-Ops가 이 사실을 보고하자, Hola는 위협을 차단하고 재발을 방지하기 위한 조치에 착수했습니다. 회사의 개선 조치는 다음과 같습니다.

• 배포 파이프라인의 전면 재구축: 잔존할 수 있는 공격자의 접근 경로를 제거하기 위해 기반부터 다시 구축했습니다 .
• 코드 서명 검증 도입: 빌드 과정에서 서명되지 않았거나 승인되지 않은 바이너리가 통과하지 못하도록 차단했습니다 .
• 배포 인프라에 대한 접근 통제 강화 및 지속적인 모니터링 체계를 도입했습니다 .

그러나 이러한 조치에도 불구하고, 2026년 6월 4일 공식 발표된 시점까지도 몇 가지 중요한 질문에는 답변이 제시되지 않았습니다. Hola는 공격자가 최초에 어떻게 파이프라인을 침투했는지, 위협 행위자의 신원은 누구인지, 얼마나 오랫동안 접근 권한을 가지고 있었는지에 대해 공개적으로 밝히지 않았습니다. 전체적인 포렌식 상황이 외부에 공개되지 않으면서, 사용자와 보안 업계는 경계해야 할 이야기를 얻었지만 위협에 대한 완전한 이해에는 이르지 못한 셈입니다 .