블록체인 기술 특성상 직접적인 탈취 어려운 만큼 피싱 이용한 정보 유출 사례가 많아
메타마스크·렛저·코이노미 등 지갑 서비스 사칭한 피싱으로 니모닉키 입력 유도해
암호화폐 지갑 개인키 + 니모닉키 동시에 유출될 경우 암호화폐 탈취될 수 있어 주의 필요
[보안뉴스 이상우 기자] 인터넷 뱅킹 서비스 이용 시, 로그인을 하고 나면 첫 페이지에 가장 볼 수 있는 팝업창은 ‘신종 전자금융사기’ 주의 안내문이다. 상당히 초보적인 사기 수법이지만, 여전히 이러한 파밍·피싱 금융사기는 생활 속에서 흔히 발생한다. 과학기술정보통신부가 발표한 자료에 따르면 지난 2016년부터 2019년까지 피싱 사이트 신고 및 차단 건수가 3만 건을 넘길 정도로 많다. 이러한 피싱 사기는 은행권만의 문제가 아니며, 각종 가상자산 금융 사이트에서도 보다 진화한 형태로 발생하는 추세다.
[이미지=웁살라시큐리티]
글로벌 블록체인 보안기업 웁살라시큐리티의 가상자산피해대응센터(CIRC) 싱가포르팀은 ‘구글 광고를 통한 MetaMask 피싱 추적 조사 보고서’를 발표했다. 해당 보고서는 최근 급증하고 있는 구글 광고를 통한 암호화폐 사이트 피싱 사기에 대한 심층 조사와 탈취된 자금을 추적한 결과를 다뤘다.
이번 보고서에 따르면 2020년부터 사이버 위협 조직에 의한 가상자산(암호화폐) 지갑 서비스 ‘메타마스크(MetaMask)’의 피싱 사이트 운영을 확인했고, 피싱 수법은 웹 파일의 코드 및 인프라 변화 등 4번에 걸쳐 교묘하게 진화했으며, 렛져 및 코이노미 지갑 이용자 등 공격 범위가 점차 넓어지고 있다는 것을 확인했다. 또한, 해당 조직은 탈취한 가상자산을 현금화하기 위해 중국 거래소인 ‘FixedFloat’ 및 출처를 알 수 없는 DEX를 사용했다는 연관성도 밝혀냈다.
웁살라시큐리티는 “이러한 피싱 사이트가 구글 배너광고처럼 공신력 있는 플랫폼을 통해 알렸고, 실제 웹페이지와 분간하기 어려울 정도로 비슷하게 만들어졌기 때문에 사용자 입장에서는 피싱 사기인지 분간하기 어려울 수 있다”며, “하지만, 그 어떤 지갑 서비스 공급자도 이용자의 비밀번호 생성을 유도하거나 비밀번호 초기화를 위해 니모닉키(MnemonicKey)를 입력하라고 요청하지 않는다. 즉, 누군가 기존 지갑 사용자에게 이를 요구하는 경우는 악의적 행위로 인식하고 반드시 유의해야 한다”고 강조했다.
니모닉키는 암호화폐 지갑을 복구하기 위한 12개의 단어로, 해시화돼서 기억하기 어려운 ‘개인 키’ 대신 이를 쉽게 기억할 수 있도록 제공하는 키다. 니모닉키와 개인키가 함께 유출될 경우 지갑 내에 있는 모든 암호화폐를 탈취당할 수 있다.
구글 광고로 유인, 진짜와 구별 힘든 피싱 사이트의 특징은?
해당 사이버 위협 조직은 4단계에 걸쳐 ‘MetaMask’의 피싱 사이트에 변화를 주면서 교묘하게 진화했다. 위협 행위자는 자바 스크립트 함수의 수를 줄여서 호스팅 되는 웹 파일 크기를 줄였고, 웹 페이지의 로딩 속도를 보다 빠르게 개선했다.
또한, 피싱 사이트를 실제 ‘MetaMask’ 사이트처럼 개인정보 관련 GDPR(General Data Protection Regulation) 동의서를 받는 페이지를 구성했다. 다만, html 소스코드를 보면 이용자가 개인정보 수집 동의 여부와 상관없이 이용자를 가장 아래에 있는 ‘import.html’ 페이지로 이동시킨다.
공격자는 import.html 페이지로 강제 이동시킨 뒤, 새 암호와 함께 12자리의 니모닉키를 입력하라고 유도하며, 이를 통해 사용자의 니모닉키를 확인하고 가상자산 지갑내의 자산을 탈취할 수 있다.
▲니모닉키 입력 유도하는 피싱 사이트[자료=웁살라시큐리티]
웁살라시큐리티 관계자는 해당 사건을 조사하면서 MetaMask 및 레져, 코이노미 웹사이트 피싱 범죄에서 탈취된 자산의 흐름과 현금화 과정을 자사의 가상자산 자금세탁 추적 솔루션인 ‘CATV’를 통해 확인했고, 범죄에 사용된 관련 블랙리스트 지갑 주소들은 모두 웁살라시큐리티의 위협 데이터베이스인 TRDB에 저장했다고 밝혔다. 또한, 이번 사건과 관련된 침해지표(IOC)를 보고서 뿐 아니라 자사의 보안 플렛폼인 센티넬 포털(Sentinel Portal)에도 공개하고 있기 때문에 누구든지 확인할 수 있다고 설명했다.
웁살라시큐리티 패트릭 김 대표는 “대표적인 피싱 범죄의 유형에 대해 사용자가 미리 인지하고 있는 것이 중요하다. 일반적으로 검찰, 경찰, 국세청, 금융위 등 정부기관을 사칭하며 자금이체를 요구하거나, 금융권 사이트에서 개인금융정보 입력을 요구하는 사칭 사이트들이 있다. 특히, 피해자가 보안카드 번호를 입력한 뒤, 이체 버튼을 클릭하더라도 더 이상 진행되지 않고 오류가 발생하도록 한 후 거래 재개를 위해 보안카드 번호를 다시 요구하는 경우가 있는데, 이것은 100% 피싱 사기라고 생각하면 된다. 정부기관 및 은행 등 그 어떤 기관에서도 절대 개인의 금융 거래정보나 금전을 요구하지 않으며 이것은 가상자산의 모든 서비스에서도 그대로 적용된다. 어떤 상황에서도 누군가 니모닉키와 같은 개인 금융정보를 요청한다면 의심하고 주의해야 한다”고 말했다.
또한, “악의적인 공격자가 개인 키를 탈취하더라도 피해를 최소화하는 사전 대응 방법은 자산을 분산해 서로 다른 가상자산 지갑에 보관하는 것이라 할 수 있다. 하나의 지갑에 모든 가상자산을 넣고 계속 사용하다가 이와 같은 피싱 사기를 당할 경우 피해 손실도 치명적일 수 있기 때문”이라고 당부했다.
한편, 웁살라시큐리티 CIRC 팀은 가상자산서비스 기업(VASP)과 개인의 ‘고객지원피해 대응 서비스’를 지원하기 위해 지난해 6월 웁살라시큐리티에서 발족한 전문 조직으로, 가상자산 해킹, 피싱 및 스캠 등의 사이버 범죄를 분석하고 추적해 보고서를 발간해 왔다. 해당 보고서 영어 원문 및 한글 번역본은 홈페이지에 연동된 공식 미디엄(Medium) 블로그 계정에서 확인할 수 있다.
[이상우 기자(boan@boannews.com)]
메타마스크·렛저·코이노미 등 지갑 서비스 사칭한 피싱으로 니모닉키 입력 유도해
암호화폐 지갑 개인키 + 니모닉키 동시에 유출될 경우 암호화폐 탈취될 수 있어 주의 필요
[보안뉴스 이상우 기자] 인터넷 뱅킹 서비스 이용 시, 로그인을 하고 나면 첫 페이지에 가장 볼 수 있는 팝업창은 ‘신종 전자금융사기’ 주의 안내문이다. 상당히 초보적인 사기 수법이지만, 여전히 이러한 파밍·피싱 금융사기는 생활 속에서 흔히 발생한다. 과학기술정보통신부가 발표한 자료에 따르면 지난 2016년부터 2019년까지 피싱 사이트 신고 및 차단 건수가 3만 건을 넘길 정도로 많다. 이러한 피싱 사기는 은행권만의 문제가 아니며, 각종 가상자산 금융 사이트에서도 보다 진화한 형태로 발생하는 추세다.
[이미지=웁살라시큐리티]
글로벌 블록체인 보안기업 웁살라시큐리티의 가상자산피해대응센터(CIRC) 싱가포르팀은 ‘구글 광고를 통한 MetaMask 피싱 추적 조사 보고서’를 발표했다. 해당 보고서는 최근 급증하고 있는 구글 광고를 통한 암호화폐 사이트 피싱 사기에 대한 심층 조사와 탈취된 자금을 추적한 결과를 다뤘다.
이번 보고서에 따르면 2020년부터 사이버 위협 조직에 의한 가상자산(암호화폐) 지갑 서비스 ‘메타마스크(MetaMask)’의 피싱 사이트 운영을 확인했고, 피싱 수법은 웹 파일의 코드 및 인프라 변화 등 4번에 걸쳐 교묘하게 진화했으며, 렛져 및 코이노미 지갑 이용자 등 공격 범위가 점차 넓어지고 있다는 것을 확인했다. 또한, 해당 조직은 탈취한 가상자산을 현금화하기 위해 중국 거래소인 ‘FixedFloat’ 및 출처를 알 수 없는 DEX를 사용했다는 연관성도 밝혀냈다.
웁살라시큐리티는 “이러한 피싱 사이트가 구글 배너광고처럼 공신력 있는 플랫폼을 통해 알렸고, 실제 웹페이지와 분간하기 어려울 정도로 비슷하게 만들어졌기 때문에 사용자 입장에서는 피싱 사기인지 분간하기 어려울 수 있다”며, “하지만, 그 어떤 지갑 서비스 공급자도 이용자의 비밀번호 생성을 유도하거나 비밀번호 초기화를 위해 니모닉키(MnemonicKey)를 입력하라고 요청하지 않는다. 즉, 누군가 기존 지갑 사용자에게 이를 요구하는 경우는 악의적 행위로 인식하고 반드시 유의해야 한다”고 강조했다.
니모닉키는 암호화폐 지갑을 복구하기 위한 12개의 단어로, 해시화돼서 기억하기 어려운 ‘개인 키’ 대신 이를 쉽게 기억할 수 있도록 제공하는 키다. 니모닉키와 개인키가 함께 유출될 경우 지갑 내에 있는 모든 암호화폐를 탈취당할 수 있다.
구글 광고로 유인, 진짜와 구별 힘든 피싱 사이트의 특징은?
해당 사이버 위협 조직은 4단계에 걸쳐 ‘MetaMask’의 피싱 사이트에 변화를 주면서 교묘하게 진화했다. 위협 행위자는 자바 스크립트 함수의 수를 줄여서 호스팅 되는 웹 파일 크기를 줄였고, 웹 페이지의 로딩 속도를 보다 빠르게 개선했다.
또한, 피싱 사이트를 실제 ‘MetaMask’ 사이트처럼 개인정보 관련 GDPR(General Data Protection Regulation) 동의서를 받는 페이지를 구성했다. 다만, html 소스코드를 보면 이용자가 개인정보 수집 동의 여부와 상관없이 이용자를 가장 아래에 있는 ‘import.html’ 페이지로 이동시킨다.
공격자는 import.html 페이지로 강제 이동시킨 뒤, 새 암호와 함께 12자리의 니모닉키를 입력하라고 유도하며, 이를 통해 사용자의 니모닉키를 확인하고 가상자산 지갑내의 자산을 탈취할 수 있다.
▲니모닉키 입력 유도하는 피싱 사이트[자료=웁살라시큐리티]
웁살라시큐리티 관계자는 해당 사건을 조사하면서 MetaMask 및 레져, 코이노미 웹사이트 피싱 범죄에서 탈취된 자산의 흐름과 현금화 과정을 자사의 가상자산 자금세탁 추적 솔루션인 ‘CATV’를 통해 확인했고, 범죄에 사용된 관련 블랙리스트 지갑 주소들은 모두 웁살라시큐리티의 위협 데이터베이스인 TRDB에 저장했다고 밝혔다. 또한, 이번 사건과 관련된 침해지표(IOC)를 보고서 뿐 아니라 자사의 보안 플렛폼인 센티넬 포털(Sentinel Portal)에도 공개하고 있기 때문에 누구든지 확인할 수 있다고 설명했다.
웁살라시큐리티 패트릭 김 대표는 “대표적인 피싱 범죄의 유형에 대해 사용자가 미리 인지하고 있는 것이 중요하다. 일반적으로 검찰, 경찰, 국세청, 금융위 등 정부기관을 사칭하며 자금이체를 요구하거나, 금융권 사이트에서 개인금융정보 입력을 요구하는 사칭 사이트들이 있다. 특히, 피해자가 보안카드 번호를 입력한 뒤, 이체 버튼을 클릭하더라도 더 이상 진행되지 않고 오류가 발생하도록 한 후 거래 재개를 위해 보안카드 번호를 다시 요구하는 경우가 있는데, 이것은 100% 피싱 사기라고 생각하면 된다. 정부기관 및 은행 등 그 어떤 기관에서도 절대 개인의 금융 거래정보나 금전을 요구하지 않으며 이것은 가상자산의 모든 서비스에서도 그대로 적용된다. 어떤 상황에서도 누군가 니모닉키와 같은 개인 금융정보를 요청한다면 의심하고 주의해야 한다”고 말했다.
또한, “악의적인 공격자가 개인 키를 탈취하더라도 피해를 최소화하는 사전 대응 방법은 자산을 분산해 서로 다른 가상자산 지갑에 보관하는 것이라 할 수 있다. 하나의 지갑에 모든 가상자산을 넣고 계속 사용하다가 이와 같은 피싱 사기를 당할 경우 피해 손실도 치명적일 수 있기 때문”이라고 당부했다.
한편, 웁살라시큐리티 CIRC 팀은 가상자산서비스 기업(VASP)과 개인의 ‘고객지원피해 대응 서비스’를 지원하기 위해 지난해 6월 웁살라시큐리티에서 발족한 전문 조직으로, 가상자산 해킹, 피싱 및 스캠 등의 사이버 범죄를 분석하고 추적해 보고서를 발간해 왔다. 해당 보고서 영어 원문 및 한글 번역본은 홈페이지에 연동된 공식 미디엄(Medium) 블로그 계정에서 확인할 수 있다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
