구글 크롬과 모질라 파이어폭스 사용자들을 겨냥한 조직적 암호화폐 자격 증명 탈취 공격이 잇달아 포착되며 보안 업계에 비상이 걸렸다. 2025년 4월부터 본격화된 이 공격은 약 3개월째 이어지고 있으며, 확인된 악성 파이어폭스 확장 프로그램만 45개에 달한다. 사용자 신뢰를 악용한 이 악성 코드들은 정교한 위장 전략을 통해 암호화폐 지갑 정보를 빼내는 것으로 확인됐다.
이번 공격은 메타마스크, 코인베이스, 트러스트월렛, 팬텀, 오케이엑스(OKX), 이더리움 월렛 등 주요 암호화폐 지갑을 사칭한 브라우저 확장 프로그램을 통해 전개됐다. 보안 업체 ‘코이 시큐리티(Koi Security)’의 유발 로넨(Yuval Ronen) 연구원에 따르면, 이들 확장은 실제 오픈 소스 코드를 복제한 뒤 악성 로직을 삽입해 정상적인 작동처럼 위장했다. 사용자가 지갑 정보를 입력하는 순간, 해당 정보는 공격자의 원격 서버로 전송되고 희생자의 IP도 추적 용도로 함께 전송되는 방식이다.
공격자들은 익숙한 브랜드 로고와 높은 사용자 평가, 존재하는 리뷰 등을 조작해 신뢰를 유도했다. 정상 확장 프로그램과 시각적으로 구분이 어려운 수준으로 만들어졌기 때문에, 일반 사용자는 악성 여부를 식별하기 어렵다. 특히 암호화폐 커뮤니티에서 널리 사용되는 플랫폼을 타깃으로 삼은 점이 이 캠페인의 파급력을 더욱 키웠다.
실제로 코인베이스는 지난 5월 내부자 해킹 사건으로 고객 7만여 명의 개인정보가 유출됐다고 밝힌 바 있다. 당시 공격자들은 피해자에게 이메일을 통해 직접 협박 메시지를 보내는 등 *디지털 납치* 형태의 피해까지 발생했다. 미 재무부 해외자산통제국(OFAC)과 금융실무그룹(FATF)도 암호화폐 범죄의 증가에 대응하고 있지만, 아직도 수많은 사용자가 이러한 위협에 노출되고 있다.
코이 시큐리티는 이번 사례를 통해 브라우저 확장 프로그램을 설치할 때, 반드시 검증된 게시자만 선택하고, 설치 전에 전체 기능과 권한을 점검해야 한다고 경고했다. 아울러 기업 내 보안 관리자는 설치 이후에도 소유권 이전 여부나 비정상 작동 징후를 지속적으로 모니터링할 필요가 있다고 덧붙였다.
한편, 2025년 상반기 기준 전 세계 암호화폐 해킹 피해액은 이미 22억 달러(약 3조 580억 원)를 돌파했다. 사용자 개인의 주의와 함께, 브라우저 제작사와 확장 프로그램 마켓플레이스의 감시 역량 강화가 필요하다는 지적이 나온다. 현재로서는 사용자의 보안 인식 확대와 지갑 정보 보호 수칙 준수가 최선의 방어책으로 꼽힌다.