18일 하우리에 따르면, 이 악성코드는 기존 한국을 타깃으로 유포된 '매트릭스(Matrix)' 랜섬웨어를 제작한 조직이 유포한 것으로 추정된다. 매트릭스 랜섬웨어는 '평양', '주체'와 같은 단어와 함께 네이버 이메일 계정을 쓰는 등 한국에 대한 이해가 높은 범죄자가 만들었다는 평가를 받았다.
이 조직은 최근 정부의 국내 암호화폐 거래소 규제 이슈로 혹시 모를 위험에 대비해 암호화폐를 거래소 지갑에서 PC 내 암호화폐 지갑으로 옮기는 사용자가 많아지자 이를 노리고 악성코드를 유포한 것으로 분석된다. 이번에도 코드 내에 '강남스타일'이란 단어가 포함돼 있어 한국을 타깃으로 악성코드를 제작한 것으로 보인다. 해커는 비트코인을 포함한 총 25가지 암호화폐 지갑을 노린다.
 |
해당 악성코드는 사용자 PC에 있는 암호화폐 지갑 주소와 비밀번호를 수집해 해커의 명령제어(C&C) 서버로 전송한다. 이후 C&C 서버로부터 해커의 지갑 주소를 받아 사용자가 지갑 주소를 복사하려고 하면 클립보드에 올바른 주소 대신 해커 주소를 저장한다.
사용자가 붙여넣기로 지갑 주소를 입력하면 해커의 지갑 주소가 입력되고, 이를 미처 알아채지 못하고 송금을 누르면 코인은 고스란히 해커에게 전송된다. 암호화폐 지갑 주소가 복잡하고 긴 문자열과 숫자로 이뤄져 있다는 점을 악용한 것이다.
최상명 하우리 CERT실장은 "우리나라의 암호화폐에 대한 많은 관심,투자가 오히려 전 세계 해커의 먹잇감으로 전락했다"며 "웹 서핑 중 악성코드에 감염되지 않도록 최신 보안 업데이트를 반드시 수행해야 한다"고 말했다.
IT조선 노동균 기자 saferoh@chosunbiz.com
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
