인기 암호화폐 지갑 서비스 메타마스크 등으로 위장한 가짜 피싱 사이트가 구글애드를 통해 버젓이 광고까지 하고 있어 주의가 요구된다.
글로벌 블록체인 보안 업체 웁살라시큐리티는 지난 1일 블로그를 통해 이 같은 내용이 담긴 ‘구글 광고를 통한 메타마스크 피싱 추적 조사 보고서’를 발표했다.
보고서에 따르면 지난해부터 한 사이버보안위협 조직에 의해 메타마스크 가짜 피싱 사이트가 운영되고 있는 사실이 확인됐다. 피싱 사이트는 실제 웹페이지와 분간하기 어려울 정도로 비슷하게 만들어졌다.
이 사이버보안위협 조직은 피싱 사이트 내에 실제 메타마스크 사이트처럼 개인정보 관련 동의 페이지를 만들어 놨는데, 사용자가 개인 정보 수집에 동의하든 하지 않든 모두 import.html 페이지로 이동시키고 여기서 새 암호와 함께 12개의 시드 문구(니모닉키)의 입력하도록 유도하고 있다. 니모닉은 프라이빗키를 복구할 수 있는 암호로, 이를 이용해 프라이빗키를 알아낸 뒤 사용자 지갑에 접근해 암호화폐를 탈취하는 수법을 썼다.
이 사이버보안위협 조직은 대담하게 해당 피싱 사이트를 구글애드 같이 공신력 있는 플랫폼을 통해 광고까지 했다. 또, 피싱 사이트를 메타마스크에서 레저, 코이노미 지갑까지 확대하고 있는 것으로 확인됐다.
탈취한 암호화폐는 현금화를 위해 중국 거래소인 ‘FixedFloat’ 와 또다른 중국의 출처를 알 수 없는 DEX로 이동한 흔적도 찾아냈다.
이번 사건 분석은 웁살라시큐리티 가상자산피해대응센터(CIRC) 팀이 맡아 진행했다. CIRC 조직은 가상자산서비스업체(VASP)와 개인의 ‘고객지원피해 대응 서비스’를 지원하기 위해 작년 6월 발족된 전문 조직이다. 다년간의 경력을 갖춘 글로벌 보안 전문가들이 전 세계 대표적인 암호화폐 해킹, 피싱 및 스캠 등의 사이버 범죄를 분석하고 추적해 보고서를 발간해 오고 있다.
CRIC 조직은 메타마스크, 레저, 코이노미 웹사이트 피싱 범죄에서 탈취된 자산의 흐름과 현금화 과정을 추적하기 위해 웁살라시큐리티 자금세탁 추적 솔루션 ‘CATV’를 활용했다. 범죄에 사용된 블랙리스트 지갑 주소들은 자사 위협 데이터베이스인 TRDB에 저장했다.
웁살라시큐리티 관계자는 "그 어떤 지갑 서비스 공급자도 이용자의 비밀번호 생성을 유도하거나 비밀번호 초기화를 위해 니모닉키(12개의 시드 문구)를 입력하라고 요청하지 않는다"며 "누군가 기존 지갑 사용자에게 시드문구 입력을 유도하는 경우는 악의적 행위로 인식하고 반드시 유의해야 한다"고 주의를 당부했다.