이더리움(ETH) 스마트 계약, 악성코드 은신처로 악용…보안망 회피 수법 포착

이더리움(ETH) 스마트 계약이 악성코드 유포 경로로 악용되는 정황이 새롭게 드러났다. 오픈소스 저장소에 탑재된 악성 패키지가 블록체인을 활용해 보안 탐지망을 우회하고 있다는 사실이 보안 전문가들에 의해 밝혀졌다.

디지털 자산 규제 및 보안 업체 리버싱랩스(ReversingLabs)의 사이버보안 연구진은 최근 오픈소스 자바스크립트 라이브러리 저장소인 NPM(Node Package Manager)에서 새로운 유형의 악성코드를 포착했다. 연구에 따르면, 해커들이 자바스크립트 패키지를 통해 감염된 기기에 직접 명령이나 링크를 넣는 대신, 이더리움 스마트 계약을 악성 명령의 은닉 통로로 활용하는 기법을 동원한 것으로 나타났다.

리버싱랩스의 연구원 루치야 발렌티치(Lucija Valentić)는 "발견된 악성 패키지에는 이더리움 스마트 계약을 악용해 명령을 다운받게 하는 기발한 방식을 채택했다"고 지적했다. 문제의 패키지들은 지난 7월 NPM에 등록된 ‘colortoolsv2’와 ‘mimelib2’로, 다운로더 악성코드를 설치하도록 설계됐다.

이 두 패키지는 보안 감시망을 피해가기 위해, 겉보기에는 단순한 파일 다운로더처럼 작동하는 동시에 실제 악성 링크는 외부에서 불러오지 않았다. 대신, 이더리움 스마트 계약 내에 숨긴 명령어를 통해 제어 서버(Command and Control)의 주소를 역으로 조회하게 했다. 이 방식은 블록체인 트래픽이 일반적으로 합법적이기 때문에 쉽게 탐지가 어려운 장점이 있다.

사용자가 해당 패키지를 설치할 경우, 프로그램은 블록체인에 쿼리 요청을 전송해 2차 감염을 일으킬 URL을 불러온다. 이 URL을 이용해 실제 악성 행위가 실행되며, 보안 솔루션으로는 트래픽의 위협성을 식별하기 어렵게 만든다.

전통적인 악성코드 유포 방식이 점점 감시의 정밀도를 높이는 보안 기술에 가로막히자, 해커들은 이제 블록체인의 투명성과 탈중앙성의 허점을 활용하는 쪽으로 전략을 변경하고 있다. 이 같은 사례는, 스마트 계약이 단순한 디앱(DApp)의 구현 수단을 넘어, 악의적인 행위자들에게도 신형 무기로 변모할 수 있다는 점을 시사한다.

전문가들은 오픈소스를 통한 공급망 공격이 점점 진화함에 따라, 개발자와 기업 모두 스마트 계약 및 관련 트래픽에 대한 보다 정교한 감시와 인증 체계가 필요하다고 강조하고 있다.