최근 사이버 보안 기업인 코이시큐리티(Koi Security)는 해킹 조직 ‘그리디베어(GreedyBear)’가 암호화폐 지갑 사용자들을 겨냥한 대규모 범죄 캠페인을 진행하고 있다고 경고했다. 이들은 브라우저 확장프로그램, 멀웨어, 피싱 웹사이트 등을 통해 다각적인 공격을 감행하고 있으며,현재까지 최소 100만 달러, 즉 약 13억 9,000만 원 이상의 암호화폐를 탈취한 것으로 드러났다.
투발 애드모니(Tuval Admoni) 연구원은 “대다수의 사이버 범죄 조직은 특정 한두 가지 공격 방법에 집중하지만, 그리디베어는 악성 확장프로그램, 랜섬웨어, 피싱 사이트를 결합하여 산업화된 암호화폐 절도 모델을 형성하고 있다”고 설명했다. 그는 이어서 “최근 해킹 그룹들이 점차 복잡하고 정교해지고 있다”고 덧붙였다.
이번 캠페인의 중심은 브라우저 확장프로그램을 통해 사용자의 지갑 인증정보를 탈취하는 것이다. 보고서에 따르면, 그리디베어는 파이어폭스 브라우저 마켓에 150개 이상의 악성 확장프로그램을 등록했으며, 이들은 메타마스크(MetaMask), 트론링크(TronLink), 이그소더스(Exodus), 라비월렛(Rabby Wallet) 등 널리 사용되는 암호화폐 지갑 앱을 위장하고 있다. 처음에는 정식 확장프로그램으로 보이기 위해 마켓플레이스의 심사를 통과한 후, 악성 코드로 내용을 수정하는 ‘확장프로그램 속이기(Extension Hollowing)’ 기법을 사용하고 있다.
애드모니는 이 방법이 확장프로그램 심사 과정의 허점을 활용한 것이라고 설명하며, “심사 과정에서는 정상으로 판별되지만, 사용자와의 신뢰를 쌓은 후에 악성으로 전환되기 때문에 훨씬 더 위험하다”고 강조했다. 실제로 이들 악성 확장프로그램은 사용자가 지갑에서 입력하는 인증정보를 직접 수집하는 방식으로 작동한다.
사이버 보안 업체 사이버스(Cyvers)의 CEO인 데디 라비드(Deddy Lavid) 또한 이번 공격의 심각성을 언급하며, “사용자들이 브라우저 확장스토어에 대해 가지고 있는 신뢰를 해커들이 악용하고 있다”고 경고했다. 그는 “지갑 플러그인을 복제하여 가짜 리뷰로 평점을 부풀리고, 이를 통해 인증정보 탈취용 멀웨어로 교체한다는 점에서 사용자 신뢰를 체계적으로 악용한 사례”라고 설명했다.
전문가들은 사용자들에게 공식 사이트를 통해 소프트웨어를 설치하고, 확장프로그램의 리뷰 및 개발자 정보에 대한 철저한 검토를 권장하고 있다. 암호화폐 사용자들을 대상으로 한 이와 같은 공격은 향후에도 계속될 것으로 예상되며, 자산 보호를 위한 보안 인식의 향상이 필요하다는 경고가 지속적으로 제기되고 있다.
