Home > 전체기사
이거 실화냐? 비트코인 지갑주소 바꾸는 악성코드 발견
  |  입력 : 2017-07-26 14:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비트코인 지갑 주소 바꿔치기로 비트코인 약 1억 원어치 탈취
하우리, 비트코인 관련 프로그램으로 위장한 악성코드 주의


[보안뉴스 원병철 기자] 최근 수신자의 비트코인 지갑 주소를 해커의 지갑 주소로 바꿔치기하여 비트코인을 탈취하는 악성코드가 유포되고 있다고 보안전문기업 하우리(대표 김희천)가 밝혔다. 현재 비트코인 탈취 악성코드는 주로 인터넷의 자료실 등을 통해 비트코인 마이너(채굴기), 비트코인 시세 알리미 등의 비트코인과 관련된 프로그램으로 위장하여 유포되고 있다.

▲ 비트코인 탈취 악성코드의 동작 개요[자료=하우리]


이번에 발견된 악성코드는 비트코인 거래 사용자들을 대상으로 한다. 거래 사용자 PC의 메모리에 상주하며 사용자가 상대방에게 비트코인을 송금하는 과정에서 동작한다. 송금하기 위해 수신자의 비트코인 지갑 주소를 복사하여 붙여 넣는 순간, 클립보드 내의 수신자의 지갑 주소를 해커의 비트코인 지갑 주소로 바꿔치기하는 행위를 수행한다. 이로 인해 송금한 비트코인은 원래 수신자의 비트코인 지갑 주소가 아닌 해커의 지갑 주소로 송금되어 탈취된다.

비트코인의 지갑 주소는 영어 대/소문자와 숫자가 섞인 30자리 내외의 복잡하고 긴 문자들로 구성되어있기 때문에, 사용자들은 지갑 주소를 직접 입력하는 것보다는 복사해서 붙여넣기 하는 경우가 대부분이다. 악성코드는 이 점을 악용해 비트코인 탈취를 시도한다.

해커는 사전에 1만 개의 비트코인 지갑 주소를 생성해 악성코드에 포함시켰으며, 사용자가 송금하기 위해 복사한 수신자 비트코인 지갑 주소와 가장 유사한 지갑 주소를 1만 개의 지갑 주소 중에 찾아내어 바꿔치기한다. 수신자의 비트코인 지갑 주소와 가장 유사한 문자들을 가진 지갑 주소로 바꿔 쳐지기 때문에 사용자는 쉽게 알아채기가 어렵다.

하우리 보안연구팀 유동현 연구원은 “악성코드 제작자의 비트코인 지갑 주소들을 추적한 결과, 약 1억 원 정도의 비트코인이 이미 탈취되어 있었다”라며, “비트코인을 송금할 때 상대방의 비트코인 지갑 주소가 정확한지 다시 한 번 확인하는 등 주의가 필요하다”라고 밝혔다.

하우리 바이로봇에서는 해당 악성코드를 ‘Trojan.Win32.Z.Agent’ 등의 진단명으로 탐지 및 치료가 가능하다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)