비트코인 지갑 주소를 바꾸는 악성코드 사례

제가 대학원을 다니던 4년 전에 비트코인이 최고점일 때 처음 들어갔었는데요. 얼마 지나지 않아 가격이 폭락해서 거의 3년 이상을 방치해 뒀다가, 올해 좀 올라가나 싶어서 기대중이였는데 다시 비트코인 가격이 폭락 중이더군요. 아마 이득 볼 사람들은 이미 다 팔고 나가지 않았나 싶습니다. 여기저기서 시즌2는 이미 끝났다고, 시즌3를 기다리자는 말이 많은데.. 우리나라 뿐만 아니라 해외의 각종 규제로 인해 다시 가격이 오를 수 있을지 걱정이 됩니다. 그래서 오늘은 비트코인의 상승을 기원하며, 이와 관련된 이슈인 비트코인 지갑의 주소를 바꾸는 악성코드에 대해 말씀드려보도록 하겠습니다.

​

이번에 소개드릴 악성코드는 윈도우 PC가 아닌, 안드로이드 스마트폰에서 확인된 악성코드인데요. 구글 플레이 스토어에 버젓이 메타마스크라는 정상적인 전자지갑 앱으로 위장해서 등록이 되었다고 합니다. "개인정보 유출 채팅 앱 사례"에서 구글도 플레이 스토어에 앱을 등록하기 전에 자체적인 악성 앱 탐지 시스템을 사용하여 탐지하고는 있지만, 해커가 이를 우회하기 위한 코드를 포함시키기 때문에 완벽하게 차단할 수는 없다고 말씀을 드렸죠. 그래서 많은 사용자들이 의심없이 이 앱을 다운로드 받아서 사용했고, 이 앱을 실행시켜 비트코인이나 이더리움을 다른 지갑으로 옮길 때 지갑 주소를 바꿔치기 하는 행위를 했다는 겁니다.

​

그러면 어떻게 코인의 지갑 주소를 바꿔치기 했는지를 말씀드리면.. 일단 대부분의 사람들은 빗썸이나 업비트 등 한 거래소를 이용하여 트레이딩을 하기 때문에 다른 지갑으로 코인을 옮기는 건 거의 안해보셨을 거라 생각하는데요. 은행 통장을 생각해봤을 때 내 계좌에서 다른 계좌 번호로 돈을 옮기는게 가능한 것처럼, 코인도 통장에 해당하는 지갑이 존재하고, 계좌 번호에 해당하는 지갑 주소가 존재합니다. 그런데 말이죠.. 여기서 문제는 지갑의 주소가 우리가 외울 수 있는 형태가 아니라는 것에 있죠. 보통 '3BW7DER...'과 같은 34자리의 영문+숫자 형태로 조합되기 때문에 이걸 외우고 다닌다는 건 있을 수 없는 일입니다.

​

한 거래소에서 다른 거래소로 코인을 옮길 때 지갑 주소가 필요한데, 길고 랜덤한 문자열을 갖기 때문에 보통 문자열을 저장해둔 후에 필요할 때 복사해서 붙여넣는 방식으로 사용하고 있죠. 그런데 악성 앱이 실행된 상태에서는 사용자가 코인 지갑 주소를 복사하고 붙여넣는 순간, 사용자의 지갑 주소가 해커의 지갑 주소로 변경이 됩니다. 기술적으로 이야기를 간단하게 드리면, 저희가 보통 Ctrl+C를 통해 텍스트를 복사하면, 클립보드라고 하는 임시 메모리 영역에 데이터가 올라가게 됩니다. 그리고 다시 Ctrl+V로 붙여넣기를 하게 되면, 클립보드에서 데이터를 가져와서 붙여넣기를 하는데 이때 악성 앱이 지갑 주소를 가로채서 변경하는 겁니다. 보통 이런 기법을 클립보드 하이재킹이라고 하는데 코드 레벨까지 말씀드리기는 너무 길어지니 여기서는 생략하겠습니다.

 

암호화폐 지갑 주소 바꾸는 ‘클리퍼’ 멀웨어, 구글 플레이에 버젓이

 

사실 문제는 이전 에세이에서도 말씀드렸듯이 구글 플레이 스토어에서 받는 앱이라고 안심할 수 없다는데 있습니다. 해외에는 가끔 이런 악성코드에 의해 피해를 본 사례가 종종 올라오는데, 블록체인의 특성상 범인을 잡기도 어렵습니다. 이런식으로 지갑 주소를 변경하는 악성코드의 예방 방법은, 적어도 지갑 주소의 앞 몇 자리는 기억해두고 있는 거겠죠. 아니면 최소한 붙여넣기 했을 때 기존 지갑 주소와 비교해야할 겁니다. 자.. 그럼 오늘 말씀드릴 내용은 여기까지구요. 다음 에세이에서 뵙도록 하겠습니다. 감사합니다.