“노트 앱 열었을 뿐인데 해킹”…암호화폐 노린 ‘보이지 않는 공격’ 확산

암호화폐 및 금융 업계 종사자를 겨냥한 새로운 사회공학 기반 해킹 공격이 발견됐다. 이번 공격은 인기 노트 앱 ‘옵시디언(Obsidian)’의 플러그인 기능을 악용해 사용자 기기를 장악하는 방식으로, 보안 업계의 경고가 이어지고 있다.

링크드인·텔레그램 활용…신뢰 구축 후 공격

엘라스틱 시큐리티 랩스(Elastic Security Labs)는 최근 보고서를 통해 공격자들이 링크드인과 텔레그램을 활용한 다단계 사회공학 수법을 사용하고 있다고 밝혔다.

공격자들은 벤처캐피털(VC) 관계자를 사칭해 피해자에게 접근한 뒤, 암호화폐 유동성 솔루션 등 금융 관련 주제로 대화를 이어가며 신뢰를 쌓는다. 이후 대화를 텔레그램으로 옮겨 보다 긴밀한 커뮤니케이션을 유도한다.

옵시디언 플러그인 악용…악성코드 은밀 실행

공격의 핵심은 옵시디언의 ‘커뮤니티 플러그인’ 기능이다.

공격자는 피해자에게 자사 데이터베이스라며 옵시디언 사용을 권유하고, 클라우드에 저장된 공유 볼트(vault)에 접근할 수 있는 계정을 제공한다. 사용자가 해당 볼트를 열고 플러그인 동기화를 활성화하면, 악성 플러그인이 자동으로 실행되며 공격이 시작된다.

이 과정은 윈도우와 맥OS 모두에서 작동하며, 정상적인 기능처럼 보이기 때문에 사용자가 인지하기 어렵다는 점이 특징이다.

‘팬텀펄스’ RAT 배포…기기 완전 장악

공격이 실행되면 ‘PHANTOMPULSE’로 명명된 원격 접근 트로이목마(RAT)가 설치된다. 이 악성코드는 정상 소프트웨어로 위장돼 있으며, 공격자가 피해자의 기기를 원격으로 제어할 수 있도록 한다.

엘라스틱은 해당 악성코드가 은밀성, 지속성, 그리고 광범위한 제어 기능을 갖춘 정교한 구조라고 설명했다.

블록체인 활용한 C2…추적 어려운 구조

특히 주목할 점은 명령·제어(C2) 방식이다.

PHANTOMPULSE는 최소 3개의 블록체인 네트워크를 활용해 공격자와 연결된다. 특정 지갑 주소와 연동된 온체인 거래 데이터를 통해 명령을 수신하는 구조로, 중앙 서버 없이도 작동한다.

이 방식은 인프라 차단에 대한 내성이 높고, 일부 네트워크가 차단되더라도 다른 체인을 통해 계속 작동할 수 있는 ‘중복성’을 갖는다.

암호화폐 사용자 집중 타깃…피해 확대 우려

암호화폐 사용자는 거래 취소가 불가능하다는 특성 때문에 지속적으로 해킹의 주요 타깃이 되고 있다.

체이널리시스에 따르면 2025년 한 해 동안 개인 지갑 해킹으로 약 7억1300만 달러 규모의 피해가 발생한 것으로 나타났다.

“정상 앱도 공격 경로”…보안 정책 강화 필요

엘라스틱은 이번 사례를 통해 공격자들이 점점 더 창의적인 침투 방식을 개발하고 있다고 지적했다.

특히 생산성 도구와 같은 정상 애플리케이션도 공격 경로로 악용될 수 있는 만큼, 기업과 기관은 플러그인 사용 정책을 강화하고 보안 통제를 확대해야 한다고 강조했다.

업계에서는 향후 이와 유사한 ‘합법 기능 악용형 공격’이 더욱 증가할 가능성이 크다는 전망이 나온다.