230만 개 지갑 주소 가로채는 암호화폐 클립보드 하이재커

암호화폐 생태계의 약점 중 하나, 복잡하고 긴 지갑 주소
사용자들 암기 어려워 복사하고 붙여넣고...공격자들 이 점 공략

[보안뉴스 문가용 기자] 지난 1년 동안 암호화폐는 놀라울 정도로 성장했다. 그럼에도 한 가지 고쳐지지 않고 불편하게 남아있는 것이 있는데 바로 길고 긴 암호화폐 지갑 주소다. 그래서 사실 자기 지갑 주소를 외우고 다니는 사람은 거의 없다고 볼 수 있다. 대부분은 거래 시 주소를 복사(Ctrl+C)해서 붙여넣는다(Ctrl+V). 그러니 암호화폐 사용자라면 클립보드에 지갑 주소가 저장되는 사례가 많다.

[이미지 = iclickart]

공격자들 역시 이 점을 진작부터 깨달았다. 그래서 클립보드를 노리는 멀웨어를 계속해서 만들어왔다. 이러한 종류의 멀웨어들을 암호화폐 클립보드 하이재커(Cryptocurrency Clipboard Hijacker CCH)라고 통칭한다. CCH는 1) 윈도우 시스템에 침투해, 2) 클립보드를 검색하고, 3) 지갑 주소가 발견되면 이를 공격자가 원하는 주소로 바꿔치기 하는 방식으로 작동한다. 사용자가 주소를 외우고 있거나 여러 번 확인하는 경우가 아니라면 속기 쉽다.

CCH는 일찍부터 개발되어 왔고, 또한 자주 사용되고 있기 때문에 새로울 것이 전혀 없다. 그런데 최근 등장한 새로운 CCH는 기존 것들과는 조금 다르다. 기존 CCH들이 약 40만에서 60만 개의 암호화폐 지갑 주소를 모니터링했다면, 이번에 등장한 샘플은 한 번에 약 230만 개의 지갑 주소를 살피는 것이다. 이 샘플의 작동 원리를 블리핑 컴퓨터(Bleeping Computer)가 영상으로 제작했고, 주소는 이것(https://youtu.be/Ty-_IjavYH4)이다.

이 샘플은 이번 주부터 배포되기 시작한 올라디오 4.27 포터블(All-Radio 4.27 Portable)이라는 멀웨어 패키지 속에서 발견됐다. 이 패키지를 설치하면 d3dx11_31.dll이라는 DLL 파일이 Windows Temp 폴더에 다운로드 된다. 그리고 DirectX 11이라는 자동 실행 파일이 생기는데, 이는 사용자가 컴퓨터에 로그하면 DLL 파일을 실행시키는 역할을 한다.

이 d3dx11_31.dll 파일은 rundll32.exe를 통해 실행된다. 명령은 다음과 같다.
rundll32 C:\Users\[user-name]\AppData\Local\Temp\d3dx11_31.dll,includes_func_runnded

이런 식의 조작 행위는 배경에서 조용히 실행되기 때문에 사용자가 이를 감지하기란 결코 쉽지 않다. 실행이 되는 중간에도 마찬가지다. 그러므로 사람의 감에 의존하지 말고 항상 최신 백신 솔루션을 실행시키면서 컴퓨터 작업을 실시해야 한다. 이는 기본 중 기본이다.

또 하나 암호화폐 사용자들이 해야 할 것은 거래 중 지갑 주소를 두 번씩 확인하는 것이다. 전송 버튼을 누르기 전에 그 복잡한 주소를 기억하거나 어디엔가 적어놓고 한 글자 한 글자 확인하면 엉뚱한 곳에 돈을 보내는 사고를 막을 수 있다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)