암호화폐 지갑 노린다…'인포스틸러' 악성코드, 다크웹 통해 확산

암호화 생태계를 겨냥한 가장 위험한 위협 중 하나로 '인포스틸러(InfoStealer)' 악성코드가 빠르게 부상하고 있다. 이 악성코드는 사용자의 동의나 인지 없이 개인 기기에서 암호화폐 지갑 정보, 로그인 자격증명, 세션 쿠키 및 기타 민감한 데이터를 은밀히 추출한다. 최근 몇 달간 바이낸스(Binance) 내부 보안 데이터에 따르면, 이 같은 형태의 감염이 암호화폐 이용자들 사이에서 급증하고 있는 것으로 나타났다.

카스퍼스키(Kaspersky)가 발표한 보고서에 따르면, 2023년 한 해에만 전 세계적으로 200만 건이 넘는 은행카드 정보가 인포스틸러에 의해 유출됐다. 이와 같은 악성코드는 ‘멀웨어-애즈-어-서비스(Malware-as-a-Service)’ 형태로 다크웹에서 판매되며, 사이버 범죄자가 대시보드, 자동 데이터 추출 기능, 기술 지원까지 제공받는 방식으로 이용되고 있다.

이러한 악성코드에 감염될 경우 피해는 단순한 계정 유출을 넘어 재정 사기, 신원 도용, 기타 온라인 서비스의 무단 접근까지 확산될 수 있다. 특히 사용자들이 동일한 자격증명을 여러 서비스에서 재사용하는 경우, 피해 규모는 눈덩이처럼 커질 수밖에 없다.

대표적인 감염 경로는 피싱 이메일, 악성 광고, 비공식 앱스토어에서의 위장된 소프트웨어 설치, 텔레그램이나 디스코드를 통해 공유되는 크랙 프로그램, 그리고 악성 브라우저 확장 프로그램이다. 일단 기기에 침투하면 인포스틸러는 저장된 비밀번호, 자동완성 데이터, 클립보드 상의 지갑 주소, 세션 토큰까지 가로챌 수 있다. 이 정보는 다크웹 포럼, 텔레그램 채널, 사설 마켓 등을 통해 거래된다.

바이낸스는 레드라인 스틸러(RedLine Stealer), 루마C2(LummaC2), 비다르(Vidar), 어싱크랫(AsyncRAT)과 같은 윈도우 기반 주요 악성코드들의 활동을 최근 90일간 집중적으로 관찰해왔다. 이 가운데 루마C2는 브라우저 암호화 우회 기능까지 갖춘 진화형 악성코드로, 실시간으로 쿠키와 지갑 정보를 빼내는 데 특화돼 있다. 또한 애플 macOS 사용자들 사이에선 애토믹 스틸러(Atomic Stealer)가 주요 위협으로 떠오르고 있다. 이 악성코드는 애플스크립트를 악용해 브라우저 및 지갑 정보를 추출하며, 바이너리 패키지로 위장해 배포되는 경우가 많다.

바이낸스는 이와 같은 위협으로부터 사용자를 보호하기 위해 다크웹 모니터링, 세션 무효화, 비정상 로그인 감지 시 계정 잠금, 비밀번호 재설정 유도 등의 대응 절차를 가동 중이다. 특히 암호화폐 이용자들이 자산을 안전하게 보호하려면 플랫폼의 보안 시스템만으로는 한계가 있으며, 개인 차원의 보안 수칙 준수가 절대적으로 요구된다는 점을 강조하고 있다.

바이낸스 최고보안책임자(CSO) 지미 수(Jimmy Su)는 "수백만 사용자들의 인증 정보가 개인 기기에서, 그것도 사용자가 인지하지 못하는 상황에서 감염되고 있다"며 "이제는 보안을 강화하는 습관이 생존 전략"이라고 경고했다.

보안을 강화하기 위한 최우선 방법으로는 2단계 인증 적용, 브라우저 비밀번호 저장 기능 비활성화, 공식 소스에서만 소프트웨어 설치, 운영체제와 앱의 최신 업데이트 유지, 출금 주소 화이트리스트 설정, 공용 와이파이 회피, 그리고 각 서비스마다 고유한 비밀번호 사용 등이 권장된다. 또한 전문 안티멀웨어 도구 사용과 정기적인 전체 디스크 스캔도 감염을 미리 차단하는 데 도움이 된다.

인포스틸러는 더 이상 소수의 해커만 사용하는 도구가 아니라, 암호화폐 산업 전반을 위협하는 기업형 사이버 공격 수단으로 자리잡고 있다. 플랫폼이 아무리 강력한 보안 체계를 갖췄더라도, 사용자 단에서 수칙을 지키지 않는다면 방어에 한계가 있다. 지금 이 순간에도 수많은 자격증명이 다크웹에서 거래되고 있다는 점에서, 보안은 선택이 아닌 필수가 되고 있다.