USB 타고 번진 악성코드…비트코인·이더리움 지갑까지 노렸다

USB를 통한 악성코드가 윈도우 PC를 감염시키며 비트코인(BTC)과 이더리움(ETH) 지갑 정보까지 노리는 정교한 공격이 확인됐다. 단순 파일 실행만으로도 자산 탈취로 이어질 수 있어 사용자 주의가 요구된다.

마이크로소프트는 최근 블로그를 통해 USB 저장장치를 매개로 확산되는 이른바 ‘크립토 클리퍼’ 악성코드를 공개했다. 해당 악성코드는 자사 백신에서 ‘Trojan:Win32/CryptoBandits’로 식별되며, 지난 2월부터 윈도우 개인용 컴퓨터를 중심으로 감염이 이어지고 있다.

감염은 비교적 단순한 방식으로 시작된다. 악성 USB에는 ‘.lnk’ 확장자의 바로가기 파일이 포함돼 있으며, 사용자가 이를 실행하면 실제 프로그램이 아닌 악성 코드가 작동한다. 이 과정에서 ‘웜’ 형태의 악성코드가 설치되고, 시스템에 상주하게 된다.

클립보드 감시·지갑 정보 탈취까지

설치된 악성코드는 약 0.5초 간격으로 윈도우의 클립보드를 감시한다. 사용자가 비트코인(BTC)이나 이더리움(ETH) 지갑의 개인키 또는 시드 문구를 복사할 경우, 해당 정보는 즉시 탈취돼 공격자의 서버로 전송된다.

이때 데이터는 익명 통신망인 ‘토르(Tor)’ 네트워크를 통해 전송되며, 동시에 10초 간격으로 5장의 화면 캡처도 함께 유출된다. 사용자는 별다른 이상 징후를 느끼기 어렵다.

더 큰 문제는 송금 과정에서도 발생한다. 사용자가 암호화폐를 전송하기 위해 주소를 복사하면, 악성코드가 이를 공격자 주소로 몰래 바꿔치기한다. 사용자가 붙여넣는 순간 이미 주소가 변조된 상태이기 때문에 자산이 공격자에게 전송될 수 있다.

USB 통해 재확산…감염 ‘연쇄 구조’

이 악성코드는 확산력도 갖췄다. 감염된 PC에 새로운 USB를 연결하면, 내부 파일들을 동일한 이름의 바로가기 파일로 대체해 다시 감염시킨다. 워드, 엑셀, PDF 등 일반 문서로 위장되기 때문에 사용자가 인지하기 어렵다.

결국 하나의 감염이 다수의 USB와 PC로 이어지는 ‘연쇄 감염 구조’가 형성되는 셈이다.

마이크로소프트 “자동 실행 차단 필수”

마이크로소프트는 보안 대응책으로 이동식 저장장치의 자동 실행(AutoRun) 기능 비활성화를 권고했다. 또한 그룹 정책을 통해 USB 내 .lnk 파일 실행을 차단하고, wscript.exe, cscript.exe 같은 스크립트 실행 도구 제한도 필요하다고 설명했다.

이와 함께 윈도우 디펜더 사용자는 토르 프록시(포트 9050) 접속 여부 등을 모니터링해 이상 징후를 탐지할 수 있다.

마이크로소프트는 공격에 사용된 파일 해시값과 .onion 도메인 등 침해 지표(IOC)도 공개했다. 기업 보안팀은 이를 기반으로 내부 네트워크 점검이 가능하다.

USB라는 일상적 매개를 악용한 이번 공격은 암호화폐 보안의 취약 지점을 다시 드러냈다. 단순한 파일 클릭 하나가 자산 손실로 이어질 수 있는 만큼, 기본적인 보안 수칙 준수가 중요해지고 있다.

---

기사요약 by TokenPost.ai
🔎 시장 해석
USB라는 일상적 매개를 활용한 공격이 암호화폐 보안의 가장 취약한 지점인 ‘사용자 행동’을 정면으로 겨냥했다. 단순 클릭만으로 지갑 정보 탈취 및 주소 변조가 가능해 개인 투자자 리스크가 확대되는 양상이다. 특히 토르 네트워크를 통한 익명 유출로 추적이 어려워 피해 회수 가능성은 낮은 편이다.

💡 전략 포인트
출처 불분명한 USB 및 외부 저장장치 사용 금지 또는 제한 자동 실행(AutoRun) 비활성화 및 .lnk 파일 실행 차단 암호화폐 전송 시 주소를 직접 확인하는 습관 필수 (붙여넣기 후 재확인) 시드 문구 및 개인키는 오프라인 보관 원칙 유지 보안 솔루션에서 Tor(포트 9050) 트래픽 탐지 여부 점검

📘 용어정리
크립토 클리퍼: 클립보드를 감시해 암호화폐 주소를 공격자 주소로 바꿔치기하는 악성코드 시드 문구: 지갑 복구에 사용되는 단어 조합으로, 유출 시 자산 통제권 상실 개인키: 암호화폐 자산에 대한 소유권을 증명하는 핵심 비밀값 Tor 네트워크: 사용자 익명성을 보장하는 통신망으로, 추적이 어려운 특징이 있음

💡 자주 묻는 질문 (FAQ)

Q. USB만 꽂아도 감염될 수 있나요? 단순 연결만으로 즉시 감염되기보다는, USB 안에 있는 위장된 바로가기(.lnk) 파일을 실행할 때 감염이 시작됩니다. 다만 사용자가 이를 일반 파일로 착각하기 쉬워 위험성이 높습니다. Q. 암호화폐 주소 바꿔치기는 어떻게 알아챌 수 있나요? 붙여넣기 후 주소의 앞뒤 몇 자리를 반드시 확인하는 습관이 중요합니다. 일부 지갑은 주소 변조를 탐지하는 기능도 제공하므로 활용하는 것이 안전합니다. Q. 감염 여부를 확인하는 방법은 무엇인가요? 윈도우 디펜더 또는 보안 프로그램에서 비정상 프로세스, Tor 네트워크 접속(포트 9050), 의심스러운 클립보드 활동 등을 점검하면 감염 여부를 파악하는 데 도움이 됩니다. TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.