비트코인과 같은 가상화폐 해킹 시도가 계속 이어지고 있어 사용자들의 각별한 주의가 필요하다. 한국인터넷진흥원(KISA)의 ‘2017년 3분기 사이버위협 동향 보고서’에 따르면 가상화폐 지갑 정보나 개인 금융 정보를 탈취 시도하거나, 가상 화폐의 이동 단계에서의 메모리 조작 등으로 가상 화폐 자체를 탈취 시도하는 악성코드가 다수 발견되고 있다.
비트코인 탈취를 시도하는 악성코드는 주로 인터넷 자료실 등을 통해 비트코인 마이너(채굴기), 비트코인 시세 알리미 등으로 위장해 비트코인 계좌를 가지고 있을 법한 대상이 해당 프로그램을 설치하도록 유도하고 있다.
비트코인 탈취 악성코드 중 하나는 비트코인 지갑 주소를 사용자가 직접 입력하지 않는다는 점을 악용한다. 비트코인 지갑 주소는 영어 대/소문자와 숫자가 섞인 30자리 내외로 복잡하게 구성돼 있기 때문에 사용자가 이를 직접 입력하지는 않는다.
이 악성코드는 비트코인 거래 사용자들을 대상으로 메모리에 상주하며, 사용자가 상대방에게 비트코인을 송금하는 과정에서 동작한다. 송금을 위해 수신자의 비트코인 지갑 주소를 복사하여 넣는 순간, 클립보드 내의 수신자 지갑주소를 해커의 지갑주소로 변경한다. 이로 인해 송금한 비트코인은 원래 수신자의 비트코인 지갑주소가 아닌 해커의 지갑주소로 송금돼 탈취된다.
한편 3분기에 발견된 악성코드의 대부분이 랜섬웨어로, 랜섬웨어 공격 역시 줄어들지 않은 것으로 나타났다. 3분기 발견된 악성코드 중 랜섬웨어가 77%로 압도적으로 많았다. 정보 탈취를 위한 악성코드는 10%, 파밍 등 금융정보 탈취 악성코드가 7%를 차지했다.
C&C로 가장 많이 악용된 국가는 미국이었고, 클라우드 서버를 이용한 원격제어 악성코드의 비중이 줄어들기는 했지만, 여전히 지속적으로 발견됐다. 3분기에는 프랑스의 C&C 악용비율이 증가했는데, 보고서는 지역/대역 단위의 C&C를 악용하는 악성코드가 활동하면서 프랑스 지역이 악용된 것으로 분석했다. 2분기에 악용 비율이 감소하였던 러시아는 랜섬웨어 유포가 소폭 증가함에 따라 악용비율이 다시 증가했다.
랜섬웨어는 익스플로잇 키트와 드라이브 바이 다운로드 방식을 결합해 광역적으로 유포되고 있으며, 최근 플랫폼 구분 없이 활동 가능한 랜섬웨어가 등장해 PC뿐만 아니라 모바일 기기의 자료 또한 보안 위협에 처하게 됐다.
또한 특정 타깃을 대상으로 한 APT 공격도 끊이지 않고 발생하고 있어 이전보다 더 명확하고 구체적인 조건을 대상으로 공격을 시도하는 정황이 확인됐다.
