HWMonitor 1.63 업데이트가 개발자 웹사이트에서 트로이목마에 감염되었습니다. – GameGPU

핵심 요약

2026년 4월 10일, 인기 하드웨어 모니터링 도구 HWMonitor의 최신판(1.63)을 배포하던 개발자 사이트에서 악성 파일이 유포된 정황이 포착됐다. 사용자가 업데이트 버튼을 클릭하면 HWiNFO_Monitor_Setup.exe라는 이름의 악성 실행파일이 다운로드되었고, Windows Defender와 VirusTotal을 통해 트로이목마 감염이 확인되었다. 공격자는 서버 전체 권한을 얻지는 못한 것으로 보이며, 메인 페이지의 다운로드 링크만 교체한 정황이 보고되었다. 사용자들은 원본 hwmonitor_1.63.exe의 직접 링크를 수동으로 확보하는 방식으로 피해를 피했다.

핵심 사실

• 문제 발생 일자: 2026년 4월 10일. 해당 시점에 HWMonitor 1.63 업데이트가 배포되는 과정에서 이상 징후가 발견되었다.
• 영향 파일명: HWiNFO_Monitor_Setup.exe가 악성으로 확인되었고, 피해를 입을 수 있는 실행파일로 유포되었다.
• 탐지 경로: 초기 차단은 Windows Defender가 담당했고, 이후 VirusTotal을 통한 다중 엔진 검사에서 트로이목마 표시가 확인되었다.
• 공격 기법: 공격자는 개발자 사이트의 메인 페이지 다운로드 버튼을 교체해 사용자를 악성 파일로 유도한 것으로 파악된다; 전면적인 서버 장악은 보고되지 않았다.
• 대응 임시 조치: 사용자 커뮤니티는 리디렉션 스크립트를 우회해 원본 hwmonitor_1.63.exe의 직접 링크를 복사·다운로드하는 방법으로 안전판을 확보했다.
• 피해 범위: 현재까지 개별 사례들이 보고되었으나 대규모 감염 규모나 피해액 등은 공식 확인되지 않았다.
• 원천 확인: 최초 보고는 사용자 커뮤니티(레딧)에서 시작됐고, 이후 독립 보안 리소스와 사용자들이 추가 검증에 참여했다.

사건 배경

HWMonitor는 PC의 전압·온도·팬 속도 등을 확인하는 경량 유틸리티로 게이머와 하드웨어 애호가 사이에서 널리 사용된다. 이런 범주의 툴은 높은 신뢰도를 전제로 운영 체제 권한과 민감한 하드웨어 정보를 다루기 때문에 배포 경로의 무결성이 특히 중요하다. 소프트웨어 공급망 공격(supply-chain attack)은 최근 몇 년간 빈번하게 보고되었고, 공식 배포 채널의 변조 사례는 사용자 신뢰를 단번에 훼손할 수 있다.

개발사(일반적으로 CPUID로 알려짐)의 설치 프로그램과 배포 페이지는 다수 사용자가 접근하는 관문이다. 따라서 공격자는 페이지 내 단순한 링크 교체만으로도 많은 사용자를 악성 파일로 유도할 수 있다. 과거 CCleaner(2017)나 SolarWinds(2020) 사례에서 보였듯, 배포 과정의 작은 틈새가 대규모 피해로 연결될 수 있다는 점이 이번 사건의 맥락을 이해하는 핵심이다.

주요 사건

사건의 첫 신호는 한 레딧 사용자가 업데이트 실행 중 Windows Defender의 경고를 받으면서 시작됐다. 해당 사용자는 의심스러운 프로세스가 차단되자 이를 커뮤니티에 공유했고, 이후 다수 사용자가 동일한 현상을 경험했다고 보고했다. 보안에 정통한 커뮤니티 참여자들이 문제 파일을 수집해 VirusTotal 등에 올린 결과, 다수 보안 엔진에서 트로이목마로 판정되었다.

조사 결과 공격자는 개발자 사이트의 메인 다운로드 버튼을 정교한 리디렉션으로 교체해 HWiNFO_Monitor_Setup.exe로 연결되도록 한 것으로 보인다. 이 파일은 정상적인 온도 모니터링 도구로 위장했지만, 분석 결과 악성 페이로드와 추가 설치 프로그램을 포함하고 있었다. 다만 현재까지 보고된 바에 따르면 공격자는 웹사이트의 콘텐츠 중 다운로드 링크만 변경했을 뿐, 서버 전체를 완전히 장악한 증거는 나오지 않았다.

커뮤니티는 빠르게 대응해 원본 설치파일(hwmonitor_1.63.exe)의 직접 링크를 찾아 수동 다운로드하는 방법을 공유했다. 이 임시 우회법으로 다수 사용자는 악성 파일 다운로드를 회피한 것으로 알려졌다. CPUID 측의 공식 입장 발표 여부와 시점은 명확히 확인되지 않았다.

분석 및 의미

이번 사건은 소프트웨어 배포 경로의 무결성이 얼마나 중요한지를 다시 한 번 보여준다. 업데이트 버튼 하나를 바꾸는 소규모 변조만으로도 수십·수백만 사용자가 취약해질 수 있기 때문에 개발사는 배포 과정에서의 서명·해시 검증, 콘텐츠 전송 네트워크(CDN) 무결성 점검을 우선 적용해야 한다. 또한 사용자 측에서도 다운로드 전 디지털 서명 확인, SHA-256 해시 대조 같은 기본 보안 수칙을 생활화할 필요가 있다.

공격의 즉각적 파급력은 제한적일 수 있으나 신뢰 손상은 장기적으로 더 큰 문제를 초래한다. 게이머·하드웨어 커뮤니티는 보통 최신 버전을 신속히 적용하는 경향이 있어, 배포 흔들림은 사용자 행동에 직접적 영향을 준다. 기업 평판·사용자 신뢰 회복을 위해선 개발사의 신속하고 투명한 조사 결과 공개와 재발 방지 조치 제시가 필수적이다.

정책적 관점에서 보면, 개인정보보호 및 사이버보안 규제 기조는 공급망 보안 강화를 요구하는 방향으로 가고 있다. 이번 사례처럼 배포 채널 훼손이 확인되면 규제 당국의 조사 대상이 될 가능성이 크고, 법적·재정적 책임 문제도 뒤따를 수 있다. 따라서 소프트웨어 배포자는 침해 사고 대응 계획과 증거 보존 절차를 정비해야 한다.

비교 및 데이터

위 표는 공개된 보고를 바탕으로 정리한 비교표다. 각 항목의 상태는 독립적 보안 검증을 거칠 것을 권고하며, 개발사에서 공식 확인 자료를 발표하면 표의 내용은 갱신될 필요가 있다.

반응 및 인용

“Windows Defender가 의심스러운 프로세스를 즉시 차단해 추가 확산을 방지했다.”

레딧 초기 보고자(사용자)

레딧 사용자의 초기 보고는 사건을 촉발한 결정적 계기였다. 이 보고가 없었다면 감염 징후가 늦게 발견됐을 가능성이 크다.

“다중 엔진 검사에서 트로이목마로 탐지되며, 해당 실행파일은 정상 설치 프로그램으로 보기 어렵다.”

VirusTotal(보안 커뮤니티 기반 분석)

VirusTotal에 제출된 샘플은 여러 엔진에서 악성으로 분류됐고, 이는 독립적 검증의 첫 단계를 제공했다. 그러나 세부 페이로드 분석은 더 심층적인 연구가 필요하다.

“다운로드 링크 한 군데의 변조만으로도 많은 이용자에게 피해를 줄 수 있으므로 배포 무결성 확보가 시급하다.”

독립 보안 연구원(익명)

보안 전문가는 단일 진입점의 변조가 공급망 위험을 키운다고 지적하며, 개발사 측의 서명·해시 검증 도입을 권고했다.

불확실한 부분

• 개발사 서버의 전체 권한 탈취 여부: 현재 보고된 것은 다운로드 버튼 교체 정황이며, 서버 전면 장악 여부는 공식 확인되지 않았다.
• 감염 규모: 정확히 몇 대의 시스템이 악성 파일을 실행해 피해를 입었는지에 대한 집계는 아직 없다.
• 공격자 신원·배후: 공격을 수행한 주체나 동기는 현재 확인되지 않았다.
• 개발사의 공식 대응 상세: CPUID(또는 관련 개발팀)의 공식 조사 결과와 대응 조치 발표 시점은 불명확하다.

총평

이번 사건은 소프트웨어 배포의 작은 취약점이 어떻게 사용자 피해로 이어질 수 있는지를 단적으로 보여준다. 개발사 측은 투명한 사고 조사와 함께 재발 방지 대책(서명, 해시, CDN 무결성 점검 등)을 신속히 공개해야 한다. 사용자들은 다운로드 전 파일 서명과 해시 대조, 출처 검증 등 기본 보안 수칙을 강화하고, 의심스러운 경고가 나오면 즉시 업데이트를 중단해야 한다.

단기적으로는 커뮤니티가 제시한 우회 방법으로 피해를 줄일 수 있으나, 장기적으로는 배포 인프라 전반의 신뢰 회복이 필요하다. 규제·보안 업계의 관심이 집중될 가능성이 높으며, 향후 공식 조사 결과를 주시해야 한다.

출처

• GameGPU 기사 (언론) — 최초 이 사건을 정리한 기사.
• VirusTotal (보안 커뮤니티) — 사용자 제출 샘플의 다중 엔진 검사 결과 참조용.
• CPUID 공식 사이트 (공식 개발사) — 소프트웨어 배포 및 원본 설치파일 확인을 위한 공식 출처.