USB 타고 번진 악성코드…비트코인·이더리움 지갑까지 노렸다

USB를 통한 악성코드가 윈도우 PC를 감염시키며 비트코인(BTC)과 이더리움(ETH) 지갑 정보까지 노리는 정교한 공격이 확인됐다. 단순 파일 실행만으로도 자산 탈취로 이어질 수 있어 사용자 주의가 요구된다.

마이크로소프트는 최근 블로그를 통해 USB 저장장치를 매개로 확산되는 이른바 ‘크립토 클리퍼’ 악성코드를 공개했다. 해당 악성코드는 자사 백신에서 ‘Trojan:Win32/CryptoBandits’로 식별되며, 지난 2월부터 윈도우 개인용 컴퓨터를 중심으로 감염이 이어지고 있다.

감염은 비교적 단순한 방식으로 시작된다. 악성 USB에는 ‘.lnk’ 확장자의 바로가기 파일이 포함돼 있으며, 사용자가 이를 실행하면 실제 프로그램이 아닌 악성 코드가 작동한다. 이 과정에서 ‘웜’ 형태의 악성코드가 설치되고, 시스템에 상주하게 된다.

클립보드 감시·지갑 정보 탈취까지

설치된 악성코드는 약 0.5초 간격으로 윈도우의 클립보드를 감시한다. 사용자가 비트코인(BTC)이나 이더리움(ETH) 지갑의 개인키 또는 시드 문구를 복사할 경우, 해당 정보는 즉시 탈취돼 공격자의 서버로 전송된다.

이때 데이터는 익명 통신망인 ‘토르(Tor)’ 네트워크를 통해 전송되며, 동시에 10초 간격으로 5장의 화면 캡처도 함께 유출된다. 사용자는 별다른 이상 징후를 느끼기 어렵다.

더 큰 문제는 송금 과정에서도 발생한다. 사용자가 암호화폐를 전송하기 위해 주소를 복사하면, 악성코드가 이를 공격자 주소로 몰래 바꿔치기한다. 사용자가 붙여넣는 순간 이미 주소가 변조된 상태이기 때문에 자산이 공격자에게 전송될 수 있다.

USB 통해 재확산…감염 ‘연쇄 구조’

이 악성코드는 확산력도 갖췄다. 감염된 PC에 새로운 USB를 연결하면, 내부 파일들을 동일한 이름의 바로가기 파일로 대체해 다시 감염시킨다. 워드, 엑셀, PDF 등 일반 문서로 위장되기 때문에 사용자가 인지하기 어렵다.

결국 하나의 감염이 다수의 USB와 PC로 이어지는 ‘연쇄 감염 구조’가 형성되는 셈이다.

마이크로소프트 “자동 실행 차단 필수”

마이크로소프트는 보안 대응책으로 이동식 저장장치의 자동 실행(AutoRun) 기능 비활성화를 권고했다. 또한 그룹 정책을 통해 USB 내 .lnk 파일 실행을 차단하고, wscript.exe, cscript.exe 같은 스크립트 실행 도구 제한도 필요하다고 설명했다.

이와 함께 윈도우 디펜더 사용자는 토르 프록시(포트 9050) 접속 여부 등을 모니터링해 이상 징후를 탐지할 수 있다.

마이크로소프트는 공격에 사용된 파일 해시값과 .onion 도메인 등 침해 지표(IOC)도 공개했다. 기업 보안팀은 이를 기반으로 내부 네트워크 점검이 가능하다.

USB라는 일상적 매개를 악용한 이번 공격은 암호화폐 보안의 취약 지점을 다시 드러냈다. 단순한 파일 클릭 하나가 자산 손실로 이어질 수 있는 만큼, 기본적인 보안 수칙 준수가 중요해지고 있다.