[보안뉴스 문가용 기자] 사이버 범죄자들 대부분은 자신들의 행적을 감추려는 최소한의 노력을 하는 편이다. 하지만 이번에 다크웹에 나타난 멀웨어인 위스틸(WeSteal)은 그렇지 않다. 일단 이름부터가 ‘우리는 훔친다’라는 의미를 있는 그대로 표현하고 있다. 개발자는 위스틸을 홍보하기 위해 “(훔치는 것이)2021년 돈 버는 유일한 길”이라고도 쓰기도 했다.
[이미지 = Pixabay]
암호화폐를 훔치는 기능을 가진 멀웨어인 위스틸을 발견한 건 보안 업체 팔로알토 네트웍스(Palo Alto Networks)다. 멀웨어인 위스틸 외에, 위스틸이 판매되는 페이지인 ‘위서플라이(WeSuppy : 우리는 공급한다)’와 관련 원격 접근 트로이목마인 ‘위컨트롤(WeControl : 우리가 제어한다)’도 찾아냈다. ‘네이밍’과 관련해서는 그 어디에서도 이들이 자신들의 행위를 부끄러워한다거나 숨기려 한다는 게 하나도 발견되지 않는 것이다.
이런 ‘위 시리즈’의 배후에 있는 건 콤플렉스코드(ComplexCodes)라는 이름으로 활동하고 있는 멀웨어 전문 개발자다. 콤플렉스코드가 위스틸을 다크웹에서 광고하기 시작한 건 2월 중순 즈음부터다. 그러나 2020년 5월에도 이미 암호화폐 탈취 멀웨어인 크립토스틸러(Crypto Stealer)를 위서플라이 사이트에서 판매했었다. 위스틸은 크립토스틸러의 업그레이드 판으로 보인다.
그 외에도 콤플렉스코드는 조디악크립토스틸러(Zodiac Crypto Stealer), 스파르탄 크립터(Spartan Crypter) 등을 개발하기도 했었다. 디도스 공격 툴인 사이트킬라(Site Killah)도 그의 손에서 나왔다. 역시나 이름이 적나라하다.
위스틸의 또 다른 특징은 저렴하다는 것이다. 위스틸의 한 달 이용권은 24달러, 3개월 이용권은 60달러, 1년 이용권은 125달러다. 위스틸은 피해자의 클립보드를 훑어 비트코인이나 이더리움 지갑 주소를 찾아내고, 이를 삭제한 뒤 다른 지갑 주소를 삽입하는 전형적인 수법을 쓴다. 보안 전문가들은 고객이 돈을 주고 위스틸을 산 뒤 이를 활용해 암호화폐를 훔치기 시작하면 상당 부분을 개발자 자신이 가져가도록 하는 장치가 있을 것으로 보고 있다. 그렇다면 위스틸의 고객들은 멀웨어를 퍼트려 공격 효율을 높이는 데 일조하는 조력자의 역할을 하게 되는 것이다.
현재 이 위스틸은 파이선을 기반으로 한 스크립트인 westeal.py라는 형태로 퍼지고 있다. 위스틸의 가격이 저렴하고 암호화폐의 가치는 대체적으로 오르고 있는 추세이기 때문에 앞으로 이 파일이 다양한 방법과 수법을 통해 더 공격적으로 퍼져갈 것으로 전문가들은 예상하고 있다. 뿐만 아니라 위스틸과 비슷한 형태의 암호화폐 탈취 도구들이 다크웹에 계속해서 나타나 유통될 것도 예상되는 상황이다.
이럴 때 가장 큰 피해를 입을 수 있는 건 암호화폐 투자에 이제 막 뛰어든 아마추어 투자자 혹은 새내기 투자자들이다. 보안 전문가들은 이런 투자자들의 경우, 흥분된 상태이고 매일의 시세에 일희일비 할 가능성이 높아 소셜엔지니어링 공격에 잘 당하는 편이라고 경고하며, 암호화폐 생태계에 이와 같은 악성 요인들이 넘쳐난다는 걸 인지하고 있어야 한다고 강조하고 있다.
때문에 암호화폐를 사용하는 사람들이라면 하드웨어 지갑을 사용하거나, 오로지 암호화폐 관련 업무만 하는 시스템을 따로 마련해 두는 것이 좋다는 보안 권고들이 나오고 있는 상황이다. 암호화폐만이 아니라 금융 업무를 하는 시스템을 가지고는 온라인 쇼핑이나 인터넷 브라우징 등 사적인 일을 많이 하지 않는 편이 안전하다는 것이 일반적인 보안 전문가들의 조언 내용이다.
3줄 요약
1. 위스틸이라는 암호화폐 탈취 멀웨어가 다크웹에 등장.
2. 개발자는 이전부터 여러 멀웨어를 개발해 판매한 적이 있던 자.
3. 암호화폐 인기 올라가고 있어 이런 식의 멀웨어 개발 및 관리자 대거 등장할 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>