악성 확장프로그램 150개... 해커집단 '그리디베어', 지갑 인증정보 탈취로 13억 원 넘게 빼내

사이버 보안 기업 코이시큐리티(Koi Security)가 최근 보고서를 통해 "그리디베어(GreedyBear)"라는 이름의 해킹 조직이 암호화폐 지갑 이용자들을 겨냥한 대규모 범죄 캠페인을 벌이고 있다고 경고했다. 이들은 브라우저 확장프로그램, 멀웨어, 피싱 웹사이트 등을 동원해 다양한 수법으로 공격을 이어가며 지금까지 100만 달러(약 13억 9,000만 원) 이상의 암호화폐를 탈취한 것으로 파악됐다.

코이시큐리티 연구원 투발 애드모니(Tuval Admoni)는 "대부분의 사이버 범죄 조직은 악성 확장프로그램, 랜섬웨어, 피싱 사이트 중 하나에 집중하지만, 그리디베어는 이 세 가지를 조합하며 산업화된 암호화폐 절도 모델을 설계했다"고 밝혔다. 그는 "이들은 더 이상 소규모 범죄에 머물지 않는다"며, 최근 해킹 그룹들이 점점 더 정교해지고 있다고 분석했다.

이번 캠페인의 핵심은 브라우저 확장프로그램을 통한 지갑 인증정보 탈취다. 보고서에 따르면 그리디베어는 파이어폭스 브라우저 마켓에 150개 이상의 악성 확장프로그램을 등록했으며, 이들은 메타마스크(MetaMask), 트론링크(TronLink), 이그소더스(Exodus), 라비월렛(Rabby Wallet) 등 인기 지갑 애플리케이션을 위장하고 있다. 이들은 초기에는 정식 확장프로그램처럼 보이도록 만들어 마켓플레이스의 심사를 통과한 뒤, 이후 악성 코드로 내용을 바꾸는 '확장프로그램 속이기(Extension Hollowing)' 기법을 활용한다.

애드모니는 이 기술이 확장프로그램 심사 과정의 허점을 이용한 것이라며, "검토 과정에서는 정상처럼 판단되지만, 사용자와 신뢰를 쌓은 뒤 악성으로 전환되므로 훨씬 위협적"이라고 지적했다. 실제로 이들 악성 확장프로그램은 지갑 사용자의 입력 필드에서 직접 인증 정보를 수집하는 방식을 쓴다.

사이버 보안 업체 사이버스(Cyvers)의 CEO 데디 라비드(Deddy Lavid)도 이번 공격에 대해 언급하며 “사용자들이 브라우저 확장스토어에 가지는 신뢰를 해커들이 무기로 전환했다”며, “지갑 플러그인을 복제하고 가짜 리뷰로 평점을 부풀린 뒤, 인증정보 탈취용 멀웨어로 교체한다는 점에서 사용자 신뢰를 시스템적으로 악용한 사례”라고 강조했다.

전문가들은 사용자들에게 공식 사이트를 통한 프로그램 설치와, 확장프로그램 리뷰 내용과 개발자 정보에 대한 정밀한 확인을 권고했다. 암호화폐 이용자들에게 신뢰를 무기로 삼는 이 같은 공격은 앞으로도 지속될 가능성이 크며, 자산 보호를 위한 보안 인식의 제고가 절실하다는 경고가 이어지고 있다.