[아이뉴스24 성지은기자] 하우리는 최근 수신자의 비트코인 지갑 주소(계좌)를 해커의 지갑 주소로 바꿔치기해 비트코인을 탈취하는 악성코드가 유포되고 있다며 26일 사용자 주의를 당부했다.
현재 비트코인 탈취 악성코드는 비트코인 관련 프로그램으로 위장해 유포되고 있다. 인터넷의 자료실 등을 통해 비트코인 마이너(채굴기), 비트코인 시세 알리미 등으로 위장해 유포되는 것.
이번에 발견된 악성코드는 비트코인 거래 사용자들을 대상으로 했다. 거래 사용자 PC의 메모리에 상주하며 사용자가 상대방에게 비트코인을 송금하는 과정에서 동작하는 것이 특징이다.
송금하기 위해 수신자의 비트코인 지갑 주소를 복사해 붙여넣는 순간, 클립보드 내의 수신자 지갑 주소를 해커의 비트코인 지갑 주소로 바꿔치기한다. 이로 인해 송금한 비트코인은 수신자의 비트코인 지갑 주소가 아닌 해커의 지갑 주소로 송금돼 탈취된다.
은행의 계좌번호에 해당하는 비트코인 지갑 주소는 영어 대·소문자와 숫자가 섞인 30자리 내외의 복잡하고 긴 문자들로 구성돼있다. 이 때문에 사용자들은 지갑 주소를 직접 입력하는 것보다는 복사해서 붙여넣기 하는 경우가 대부인데, 악성코드는 이 점을 악용해 비트코인을 탈취했다.
해커는 사전에 1만개의 비트코인 지갑 주소를 생성해 악성코드에 포함시켰으며, 사용자가 송금하기 위해 복사한 수신자 비트코인 지갑 주소와 가장 유사한 지갑 주소를 사용해 바꿔치기했다.
수신자의 비트코인 지갑 주소와 가장 유사한 문자열을 가진 지갑 주소로 바꿔치기했기 때문에 사용자는 이를 쉽게 알아채기 어렵다.
유동현 하우리 보안연구팀 연구원은 "악성코드 제작자의 비트코인 지갑 주소들을 추적한 결과, 약 1억원 정도의 비트코인이 이미 탈취돼있었다"며 "비트코인을 송금할 때 상대방의 비트코인 지갑 주소가 정확한지 다시 한번 확인하는 등 주의가 필요하다"고 강조했다.
한편, 하우리는 바이로봇에서 해당 악성코드를 'Trojan.Win32.Z.Agent' 등의 진단명으로 탐지 및 치료한다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기