침해사고/위협동향

암호화폐 사용자 노리는 해커들··· 가짜 앱 주의보

이종현
[디지털데일리 이종현기자] 암호화폐 대장주로 불리는 비트코인의 가격이 천정부지로 치솟고 있다. 6일 한화로 3800만원을 돌파했다. 1년 전 이맘쯤에 비해 4배 가까이 가격이 상승하며 비트코인을 비롯한 암호화폐에 대한 관심이 높아지는 가운데 이를 노리는 해커들의 공격도 활발해질 것으로 예상돼 주의가 요구된다.

7일 이스트시큐리티에 따르면 글로벌 보안기업 인터제르(Intezer)의 최근 보고서에는 암호화폐 관련 애플리케이션(앱)에서 악성코드가 발견됐다는 내용이 담겼다.

인터제르는 암호화폐 사용자를 표적으로 삼는 이 악성코드는 암호화폐 거래 관리 응용 프로그램인 ‘Jamm’, ‘eTrader’라는 앱과 암호화폐 포커 앱 ‘DaoPoker’이라는 3개 앱에서 악성코드가 발견됐다고 전했다.

3개 앱은 정상적인 앱처럼 작동하지만 백그라운드에서는 ‘일렉트로랫(ElectroRAT)’이라 명명된 악성코드가 실행되도록 한다. 이 악성코드는 암호화폐 지갑의 개인키를 비롯한 사용자 정보를 훔치는 기능을 수행한다. 원격관리도구(RAT)인 만큼 해커가 원격으로 명령을 실행할 수 있다.

이 악성코드가 발견된 것은 지난 12월이지만 실제 배포된 것은 지난해 1월인 것으로 추정된다. 발견이 늦은 것은 이 악성코드가 C, C++, 비주얼 베이직 등 대중적인 프로그래밍 언어가 아닌 새로운 프로그래밍 언어로 제작됐기 때문이다.

악성코드라는 것은 결국 프로그래밍 언어로 제작된 ‘코드’의 일환이다. 정상적인 소프트웨어(SW)가 코드의 집합으로 구성되듯 악성코드 역시 마찬가지다. 백신 등의 제품은 악성 행위를 하는 코드와 그 패턴을 분석해 잡아낸다.

당연하지만 악성코드를 잡아내기 위해서는 코드에 대한 정보가 필요하다. 그러나 대중적인 언어가 아닌 새로운 언어로 생성된 악성코드는 탐지가 어려울 수밖에 없다. 한국어, 영어, 중국어로 작성된 나쁜 말은 잡아낼 수 있지만 불가리아어로 된 나쁜 말을 잡아내긴 어려운 것과 같은 이치다.

인터제르는 “이 악성코드는 프로그래밍 언어 ‘고랭(Golang)’으로 작성됨으로써 모든 안티바이러스 탐지를 회피함으로써 1년 동안 지속할 수 있었다”고 전했다.

이 악성코드는 1년 동안 6700명 이상을 감염시킨 것으로 추정된다. 또 윈도, 리눅스, 맥OS 등 복수 운영체제(OS)를 공격하도록 설계된 크로스 플랫폼 악성코드라는 점도 눈에 띈다. 시장 점유율이 높은 윈도를 노린 악성코드가 많은데, 이 악성코드는 윈도뿐만 아니라 보안성이 뛰어난 것으로 알려진 맥OS도 함께 겨냥한 것이다.

인터제르는 해당 앱의 이용자들에게 “관련한 모든 파일을 삭제하고 자금을 새로운 지갑으로 옮긴 뒤 패스워드를 변경할 것을 권장한다”고 조언했다.

보안업계 관계자는 “비트코인 가격이 상승함에 따라 암호화폐를 노린 공격은 더욱 거세질 것으로 추정된다. 이번 공격처럼 새로운 프로그래밍 언어로 악성코드를 제작할 경우 발견도 어렵다”며 “어떤 OS든 안전지대는 없다고 봐야 한다”고 말했다.

이어서 그는 “출처가 불분명한 인터넷주소(URL)나 첨부파일은 클릭하지 않고, 앱 다운에도 주의해야 한다. OS나 백신 및 사용 중인 SW의 최신 업데이트를 하는 것도 중요하다”며 “다소 식상한 결론이지만 이용자가 주의하는 것이 중요하다”고 당부했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널