신종 악성코드가 암호화폐 지갑을 노리고 비트코인 등 주요 디지털 자산을 탈취하는 사례가 급증하고 있다. 특히 이번 사례는 ‘클릭픽스(ClickFix)’라는 소셜 엔지니어링 기반 피싱 기법을 활용해 보안 시스템을 우회하며 사용자 정보를 탈취하는 방식으로, 기존 보안 솔루션으로는 탐지가 어려워 주의가 요구된다.

사이버보안 전문 매체 해커뉴스에 따르면, 이번 클릭픽스 캠페인은 CAPTCHA(자동입력 방지 기능)의 해결 또는 시스템 오류 수정을 가장해 사용자가 윈도우 실행창에 악성 명령어를 직접 입력하게 유도한다. 이렇게 실행된 악성코드는 감염된 기기에서 브라우저, 메신저 앱, FTP 클라이언트, 이메일 등 다양한 데이터를 수집하며, 특히 암호화폐 지갑 정보를 주요 타깃으로 삼는다.

이 악성코드는 기존에도 ‘악리드레인(ACR) 스틸러’라는 이름의 악성코드로 알려져 있었으며, 2024년 미드까지는 마치 구독형 서비스처럼 유료로 배포되기도 했다. 이번에 발견된 변종은 소셜 엔지니어링 기법과 고도의 회피 기술을 결합해 탐지율을 낮춘 것이 특징이다.

캠페인 운영자들은 스마트에이프SG(SmartApeSG)로 알려진 가짜 클릭픽스 웹 페이지를 통해 악성 프로그램인 넷서포트 RAT을 배포하고 있다. 이들은 또 가짜 Booking.com 페이지, 위조된 내부 이메일 알림, 허위 송장 등을 활용해 피해자들이 클릭을 유도한 뒤 로그인 개인정보를 탈취하고 있다.

특히 비트코인을 비롯한 암호화폐 지갑은 범죄자들에게 ‘고가치 표적’으로 분류된다. 디지털 자산은 중간 절차 없이 즉시 전 세계로 전송 가능하며, 트랜잭션이 취소되지 않기 때문에 일단 개인키를 탈취당하면 자금 회수가 사실상 불가능하다. 실제로 하나의 지갑에서 수십만 달러(수억 원)에서 많게는 수백만 달러(수십억 원) 상당의 암호화폐가 유출될 수 있다.

이번 캠페인에 사용된 악성코드 ‘아마테라 스틸러(Amatera Stealer)’는 브라우저 내 저장된 지갑 정보, 개인키, 지갑 파일 등 암호화폐 관련 데이터를 식별하고 추출하는 기능에 특화돼 있다. 이는 사전 분석을 통해 감염 대상 중 암호화폐 관련 정보가 있을 경우에만 RAT을 실행하도록 설계돼 피해의 효율성을 극대화하고 있다.

이번 사례는 단순한 피싱 공격을 넘어, 암호화폐 사용자들의 보안 인식을 시험하는 정교한 사이버 범죄 양상으로 볼 수 있다. 특히 일반적인 보안 프로그램을 우회하는 방식이므로, 개인키 백업, 하드웨어 지갑 사용, 의심 링크 주의 등 사용자의 능동적인 보안 관리가 무엇보다 중요하다.