파이어폭스 악성 확장 프로그램, 코인베이스·메타마스크 위장해 암호화폐 지갑 정보 탈취

암호화폐를 보유한 파이어폭스(Firefox) 사용자라면 지금 이 순간 사이버 보안에 각별한 주의가 필요하다. 사이버보안 기업 코이 시큐리티(Koi Security)는 최근 사용자 지갑 정보를 탈취하는 악성 파이어폭스 확장 프로그램이 대규모로 유포되고 있다고 경고했다. 이 캠페인에는 코인베이스, 메타마스크, 트러스트월렛, 팬텀, 오케이엑스 등 유명 지갑 서비스로 위장한 40개 이상의 확장이 포함돼 있으며, 피해자의 자산을 은밀하게 해커 서버로 전송하는 기능이 내장되어 있다.

코이 시큐리티에 따르면 이 공격은 2025년 4월부터 본격적으로 시작됐으며, 최근까지도 모질라의 확장 프로그램 스토어에 새로운 악성 파일이 지속적으로 업로드되고 있다. 확장 설치 시 사용자 IP 주소를 전송하거나, 방문 중인 웹사이트 내에서 지갑 비밀키를 직접 추출하면서 해커는 암호화폐 거래와 보유 정보를 정교하게 추적하고 있다.

특히, 공격자들은 수백 개의 가짜 긍정 리뷰를 통해 해당 확장을 모질라 스토어 상위에 노출시켜 신뢰도를 확보했다. 이들은 오픈소스 지갑 확장을 복제한 뒤 백그라운드에 악성 코드만 심어 정상 작동을 유지하면서도 사용자 정보 탈취를 병행했다. 이렇게 정교하게 조작된 확장 덕분에 아무런 의심 없이 피해자가 속출했다.

코이 시큐리티는 이 특정 캠페인에 공통적으로 사용된 서버 인프라 구성, 코드 작성 방식, 해킹 기술 등에서 조직적인 범죄의 흔적을 포착했다며, 악성 확장을 즉시 삭제하고 지갑 키를 교체할 것을 사용자에게 권고했다. 더불어 모질라와 협력하여 해당 확장을 제거하고 추가 업로드 시도를 차단하겠다고 밝혔다.

주목할 점은 코드 내부에서 발견된 러시아어 주석과 조작 서버 내 PDF 메타데이터 등이다. 이는 해당 공격이 러시아어를 사용하는 해커 조직의 소행일 가능성을 시사한다. 다만 결정적인 증거는 아니기 때문에 추후 조사가 더 필요하다.

이번 사건은 지난 몇 달 사이에도 반복적으로 등장한 러시아 연계 피싱 범죄와 유사한 양상을 띠고 있다. 예컨대 지난 봄 블록체인 보안회사 슬로우미스트(SlowMist)가 추적한 가짜 줌(Zoom) 미팅 링크를 활용한 해킹 사건도 러시아어 기반 코드와 연결돼 있었다. 당시 해커들은 피해자의 자산을 탈취한 뒤 이더리움(ETH)으로 전환해 대형 거래소에서 매도 처리했다.

암호화폐 사용자들이 늘어남에 따라 지갑 해킹을 노린 공격은 점차 교묘해지고 있다. 특히 브라우저 확장을 이용한 수법은 평소 경계심이 낮은 사용자에게 치명적일 수 있다. 보안 전문가들은 파이어폭스와 같은 오픈 환경을 사용하는 사용자라면 '공식 스토어'에 대한 맹신보다는 지속적인 점검과 확장의 정체성 검증이 필수라고 강조했다.