“암호화폐 거래소 사칭 피싱”...안랩, 인포스틸러 급증 경고

최근 비트코인과 이더리움 등 대표 암호화폐 가격이 역대 최고치를 잇따라 경신하면서 투자자 관심이 폭증하는 가운데, 이를 악용한 정보탈취형 사이버 공격이 국내외에서 급증하고 있다. 안랩은 글로벌 가상자산 거래소를 사칭해 피싱 사이트로 유도하는 인포스틸러(InfoStealer) 악성코드가 소셜미디어 광고를 통해 빠르게 확산되고 있다고 경고했다. 업계는 투자 열기와 맞물린 공격 방식 고도화가 가상자산 보안의 경계심을 다시 높이고 있다고 분석한다.

안랩에 따르면 최근 페이스북 광고 게시글로 유포되는 악성코드는 바이낸스 등 글로벌 가상자산 거래소의 로고와 이름을 무단 도용해, 가짜 거래소로 이용자를 유인한 뒤 악성 파일 다운로드까지 이끄는 패턴을 취하고 있다. 특히 광고 문구에는 ‘무료 암호화폐 지급’, ‘거래 차트 서비스 무료 등록’ 등 투자자들의 관심사를 노린 금전적 미끼가 동원되고 있다.

악성코드는 사용자가 ‘더 알아보기’ 또는 ‘다운로드’ 버튼을 누르면 설치파일인 ‘installer.msi’를 내려받도록 한다. 정상적인 거래소 사이트와 거의 구별이 힘든 피싱 페이지에서 이 파일이 실행될 경우, PC 내부 정보를 모아 공격자 서버(C2)로 전송하는 과정이 자동화된다. 구체적으로는 시스템 고유 식별자, 장치 사양, 설치된 프로그램, 브라우저 로그인 정보, 키보드 입력 내용, 텔레그램 계정 등 민감 데이터가 모두 노출된다. 페이스북에 로그인하지 않았거나 특정 추적 코드가 빠진 경우에는 정상 페이지로 연결돼 탐지를 회피하는 치밀함도 드러났다.

해당 인포스틸러는 먼저 피해자의 컴퓨터가 보안 분석용 가상환경인지 실제 사용자 환경인지 식별하는 탐색코드를 구동한다. 실제 운영 환경으로 확인될 경우에는 주기적으로 명령을 수신하며 자동 실행을 반복한다. 탈취된 정보는 암호화폐 지갑 접근에 활용되거나, 추가 공격에 악용될 위험이 크다.

이 같은 방식은 지난해 미국 등 글로벌 시장에서 문제시된 피싱 공격 사례와 구조적으로 유사하다. 정보탈취 비중이 높은 점, SNS 광고 등 공식채널과 유사한 경로를 통해 확산되는 경향, 가상자산에 특화된 공격코드 적용 등은 해외 전문 보안업체 보고서에서도 최근 집중 분석된 요인으로 꼽힌다.

국내 정보보호 업계에서는 이러한 인포스틸러 확산 추세가 투자자 개인의 보안 인식과도 직접 연결된다고 강조한다. 페이스북 등 SNS 광고 경로를 통해 내려받는 외부 프로그램은 오남용 및 악성코드 위험이 높으므로, 도메인 주소와 공식 사이트 여부를 반드시 확인하는 것이 필수적이다. 안랩은 “무상 보상 이벤트 등을 미끼로 내건 프로그램은 정상 거래소 또는 차트 서비스가 제공하지 않는다”며, 광고를 통한 다운로드는 최대한 지양할 것을 당부했다.

가상자산 투자 심리가 과열될수록 보안 위협 역시 한층 교묘해질 것으로 보인다. 산업계는 이번 악성코드가 실제 투자자 피해로 확산될지, 거래소와 이용자 차원의 대응이 추가 강화될지 예의주시하고 있다.