"비트코인 1억원 상당 가로챈 악성코드 등장"

하우리 "PC 메모리에 상주하다 송금 과정에 상대방 지갑주소 바꿔치기"

컴퓨팅입력 :2017/07/26 11:44

랜섬웨어처럼 데이터를 볼모로 사람들에게 비트코인을 요구하는 게 아니라, 아예 컴퓨터를 감염시켜 비트코인을 가로채는 악성코드가 등장했다.

보안업체 하우리(대표 김희천)는 사용자가 거래하려는 수신자의 비트코인 지갑 주소를 해커의 지갑 주소로 바꿔치기해 비트코인을 탈취하는 악성코드가 유포됐다고 26일 밝혔다.

비트코인 탈취 악성코드는 비트코인 채굴기, 시세알리미 등 관련프로그램을 위장해 인터넷자료실 등에서 유포되고 있다. 사용자가 이런 프로그램으로 위장한 악성코드를 내려받아 실행하면 PC 메모리에 상주하며, 비트코인 거래 상대에게 송금할 때 악성 동작을 하게 된다.

악성 동작은 사용자가 수신자의 비트코인 지갑 주소를 '복사'한 다음, 송금대상 입력난에 '붙여넣기'하는 과정에서 진행된다. 악성코드는 PC에서 사용자가 복사한 정보를 일시적으로 저장하는 '클립보드' 공간에서 수신자의 비트코인 지갑 주소를 해커의 것으로 바꿔친다.

비트코인 지갑 주소를 바꿔치기하는 악성코드의 동작 과정 개요

비트코인 지갑 주소는 30자리 안팎의 숫자와 영어 대소문자가 혼합된 문자열이다. 사용자가 비트코인 송금 과정에서 주의를 기울이지 않으면, 복사했던 문자열과 붙여넣기한 문자열이 다르다는 걸 알아차릴 수 없게 된다. 악성코드를 제작한 해커는 이 점을 노렸다.

하우리 측 설명에 따르면 해커는 사전에 비트코인 지갑 주소 1만개를 생성, 악성코드에 포함시켰다. 1만개 주소 가운데 사용자가 송금하기 위해 복사한 수신자의 비트코인 지갑 주소와 가장 유사한 지갑 주소를 찾아내 바꿔치기한다.

관련기사

악성코드에 감염된 PC 사용자가 비트코인 지갑 주소가 바뀐 걸 모른 채 송금을 진행하면 결국 송금대상이 아닌 해커에게 비트코인을 건네게 된다.

하우리 보안연구팀 유동현 연구원은 "악성코드 제작자의 비트코인 지갑 주소들을 추적한 결과, 약 1억원 정도의 비트코인이 이미 탈취되어 있었다"며 "비트코인을 송금할 때 상대방의 비트코인 지갑 주소가 정확한지 확인하는 주의가 필요하다"고 말했다.