이더리움 지갑 위장한 악성 확장 프로그램…시드 구문 탈취 주의보

블록체인 보안 플랫폼 소켓(Socket)이 구글 크롬 웹스토어에 올라온 악성 암호화폐 지갑 확장 프로그램에 대해 사용자 주의를 당부했다. 이 확장 프로그램은 사용자의 시드 구문(seed phrase)을 탈취해 자산을 빼내는 수법을 쓰는 것으로 알려졌다.

해당 확장 프로그램은 ‘세이퍼리: 이더리움 지갑(Safery: Ethereum Wallet)’이라는 이름으로 배포되며, 이더리움(ETH) 기반 자산을 ‘간편하고 효율적으로 관리’할 수 있는 ‘신뢰할 수 있는 보안 브라우저 확장 프로그램’이라고 소개하고 있다.

하지만 11일 소켓이 발표한 보고서에 따르면, 이 확장 프로그램은 사용자 모르게 시드 구문을 외부로 유출하는 숨겨진 백도어가 내장돼 있다. 해당 코드가 사용자의 시드 구문을 수이(SUI) 주소 형태로 인코딩한 뒤, 공격자가 통제하는 수이 지갑에서 소액의 트랜잭션을 발생시켜 이를 외부로 전송하는 방식이다.

소켓 측은 “처음에는 단순하고 안전한 이더리움 지갑처럼 보이지만, 실제로는 의도적으로 설계된 백도어를 통해 시드 구문을 빼돌린다”며 “이 방식은 매우 교묘하게 위장돼 있어 일반 사용자는 알아차리기 어렵다”고 경고했다.

이번 사례는 점점 정교해지는 피싱 방식의 일환으로, 최근에는 브라우저 확장 프로그램이나 모바일 앱을 이용한 시드 구문 탈취 시도가 증가하고 있다. 사용자는 확장 프로그램 설치 전 개발자 정보와 사용자 리뷰를 꼼꼼히 확인하고, 공식 웹사이트가 아닌 경로에서 지갑을 설치하지 않도록 주의가 필요하다.