'가짜 지갑주소'로 비트코인 탈취 악성코드.."추적해보니 벌써 1억 탈취"

비트코인 자료사진. [중앙포토]

비트코인 등 가상화폐에 대한 관심이 늘면서 사용자의 컴퓨터를 감염시켜 비트코인을 가로채는 악성코드도 등장했다.

27일 보안업체 하우리는 사용자가 거래하려는 수신자의 비트코인 지갑 주소를 해커의 지갑 주소로 몰래 바꾸고 이를 통해 비트코인을 탈취하는 악성코드가 유포되고 있다고 밝혔다.

비트코인 탈취 악성코드는 비트코인 채굴기, 시세 알리미 등 관련 프로그램으로 위장해 인터넷자료실 등지에서 유포되고 있다. 감염된 프로그램을 내려받아 실행하면 악성코드가 PC메모리에 상주해, 비트코인 거래시 동작한다.

악성코드는 사용자가 수신자의 비트코인 지갑 주소를 '복사'한 뒤 송금대상 입력란에 '붙여넣기'라는 과정에서 실행된다. 악성코드는 PC에서 사용자가 복사한 정보를 일시적으로 저장하는 '클립보드' 공간에서 수신자의 비트코인 지갑 주소를 해커의 것으로 바꿔치기한다.

비트코인 탈취 악성코드의 동작 개요. [사진 하우리]

비트코인 지갑 주소는 30자리의 숫자와 영어 대소문자 조합 문자열이다. 복잡한 문자 체계로 사용자가 주의를 기울이지 않으면 복사한 지갑 주소와 바꿔치기 된 문자열이 다르다는 점을 알 수 없다. 악성코드를 제작한 해커 역시 이점을 노렸다.

하우리 측은 해커들이 비트코인 지갑 주소 1만개를 생성, 악성코드에 포함시켰다며 1만개 주소 중 사용자가 송금하기 위해 복사한 수신자의 비트코인 지갑 주소 중 가장 유사한 지갑 주소를 찾아내 바꿔치기한다고 전했다.

일종의 보이스피싱 수법과 비슷한 셈이다.

유동현 하우리 보안연구팀 연구원은 "악성코드 제작자의 비트코인 지갑 주소를 추적한 결과 약 1억원의 비트코인이 이미 탈취돼 있었다"며 "송금하기 전 상대방의 비트코인 주소가 맞는지 확인하는 주의가 요구된다"고 강조했다.

박광수 기자 park.kwangsoo@joongang.co.kr