비트코인 자료사진. [중앙포토] |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
27일 보안업체 하우리는 사용자가 거래하려는 수신자의 비트코인 지갑 주소를 해커의 지갑 주소로 몰래 바꾸고 이를 통해 비트코인을 탈취하는 악성코드가 유포되고 있다고 밝혔다.
비트코인 탈취 악성코드는 비트코인 채굴기, 시세 알리미 등 관련 프로그램으로 위장해 인터넷자료실 등지에서 유포되고 있다. 감염된 프로그램을 내려받아 실행하면 악성코드가 PC메모리에 상주해, 비트코인 거래시 동작한다.
악성코드는 사용자가 수신자의 비트코인 지갑 주소를 '복사'한 뒤 송금대상 입력란에 '붙여넣기'라는 과정에서 실행된다. 악성코드는 PC에서 사용자가 복사한 정보를 일시적으로 저장하는 '클립보드' 공간에서 수신자의 비트코인 지갑 주소를 해커의 것으로 바꿔치기한다.
비트코인 탈취 악성코드의 동작 개요. [사진 하우리] |
비트코인 지갑 주소는 30자리의 숫자와 영어 대소문자 조합 문자열이다. 복잡한 문자 체계로 사용자가 주의를 기울이지 않으면 복사한 지갑 주소와 바꿔치기 된 문자열이 다르다는 점을 알 수 없다. 악성코드를 제작한 해커 역시 이점을 노렸다.
하우리 측은 해커들이 비트코인 지갑 주소 1만개를 생성, 악성코드에 포함시켰다며 1만개 주소 중 사용자가 송금하기 위해 복사한 수신자의 비트코인 지갑 주소 중 가장 유사한 지갑 주소를 찾아내 바꿔치기한다고 전했다.
일종의 보이스피싱 수법과 비슷한 셈이다.
유동현 하우리 보안연구팀 연구원은 "악성코드 제작자의 비트코인 지갑 주소를 추적한 결과 약 1억원의 비트코인이 이미 탈취돼 있었다"며 "송금하기 전 상대방의 비트코인 주소가 맞는지 확인하는 주의가 요구된다"고 강조했다.
박광수 기자 park.kwangsoo@joongang.co.kr
▶SNS에서 만나는 중앙일보 [페이스북] [트위터] [네이버포스트]
ⓒ중앙일보(http://joongang.co.kr) and JTBC Content Hub Co., Ltd. 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.