‘크립토 드레이너’라고 하는 피싱 템플릿이 다크웹에 등장했다. 간단하게 피싱 웹사이트를 등록할 수 있게 해 주며, 여기에 속아 들어온 피해자들의 암호화폐 지갑을 먼지 한 톨까지 털어낸다. 피싱 공격자들을 위한 새로운 서비스가 시작된 것일지도 모른다.

[보안뉴스 문가용 기자] 블록체인에 대한 지식 없이 암호화폐 투자자들을 속여 지갑 속 내용물을 싹 비우게 하는 방법이 발견됐다. 가짜 크립토 관련 웹 페이지들을 만들어 악성 스크립트를 심는 것인데, 최근 다크웹에서 일부 공격자들이 사이트를 진짜처럼 보이게 하는 각종 콘텐츠는 물론 악성 스크립트까지 완전히 장착된 피싱용 웹 페이지들을 판매하기 시작했다. 이 스크립트는 지갑을 강제로 크래킹해 잔액을 모조리 가져가는 기능을 가지고 있다.

​

[이미지 = utoimage]

보안 업체 레코디드퓨처(Recorded Future)에 따르면 한 유명 다크웹 포럼에서 아이시유(iSeeYou)라는 사이버 범죄 조직이 누구나 금방 사용할 수 있는 피싱 페이지를 판매하고 있다고 한다. 이것을 사다가 실제 공격에 적용하면(온라인 상에 띄우면) 누구나 NFT 아이템을 만들 수 있다는 식의 웹사이트가 완성된다. 암호화폐나 NFT에 관심이 있는 사람이 여기에 속아 페이지에 접근하면 암호화폐 지갑을 연결시키는 작업을 거치게 되는데, 이 지갑은 페이지에 장착되어 있던 스크립트를 통해 전부 밖으로 빠져나간다고 한다.

단순한 공격이지만 피해자들 입장에서는 매우 속기가 쉬웠다. NFT라는 아이템을 미끼로 쓴 것도 그렇고, 가짜 웹 페이지도 매우 그럴 듯했다. 공격자들은 블록체인 및 암호화폐 생태계에서 잘 알려진 거래소나 판매처를 적당히 사칭하기도 했고, 그럼으로써 자신들은 신뢰할 만한 서비스임을 피력했다. 심지어 암호화폐 생태계에서 유명한 서드파티 서비스들까지도 페이지에 삽입했기 때문에 이쪽 분야를 잘 아는 사람들로서는 더더욱 속기 쉬웠다.

레코디드퓨처는 이런 가짜 페이지들에 ‘크립토 드레이너(crypto drainer)’라는 이름을 붙여 추적했다. 그리고 2022년에는 소수의 공격자들만 사용하던 캠페인이었지만 어느 새 인기가 꽤나 올라 흔한 공격 기법이 되어가고 있다는 경고를 이번 주 내놓았다. “최근에만 이런 식으로 구성된 가짜 웹 페이지가 100개 이상 발견되고 있습니다. 전부 지갑 내용물을 훔쳐내는 스크립트를 탑재하고 있고요. 이 기법에 대한 공격자들의 관심이 꽤나 높은 것으로 보입니다.” 레코디드퓨처의 수석 분석가인 일리야 볼로빅(Ilya Volovik)의 설명이다.

크립토 드레이너라고 명명된 이 페이지들은 다크웹에서 구매하기에 용이하다. 쉽게 찾을 수 있고 가격도 낮은 편이라는 것이다. “300~500달러 사이에 구매할 수 있습니다. 심지어 프로모션 때문에 무료로 풀릴 때도 있고요. 그러니 공격자들의 관심이 높아질 수밖에 없습니다. 그런데 여기에는 한 가지 함정이 있는 것으로 분석됐습니다. 피해자들로부터 빼낸 암호화폐가 아이시유와 같이 크립토 드레이너를 최초 배포한 조직들에게로 간다는 겁니다. 즉 300~500달러를 주고 크립토 드레이너를 구매해봤자 아이시유와 같은 최초 개발자들에게만 이득이 돌아간다는 것이죠. 일종의 범죄자들끼리의 사기극이 벌어지고 있는 겁니다.”

물론 모든 크립토 드레이너라는 템플릿이 그런 식으로 작동하는 건 아니다. “이를 구매하여 사용하는 범죄자들이 이득을 챙기는 경우가 대부분이긴 합니다. 다만 크립토 드레이너를 공짜로 나눠준다는 행사에서 사기 행각이 벌어질 때가 많습니다. 전부 사기였다면 인기가 올라가지는 않았을 겁니다.”

볼로빅은 크립토 드레이너가 피싱 공격자들의 목마름을 꽤나 시원하게 해결해 주는 도구라고 지적하기도 한다. “피싱 전문가들 중 코딩을 할 줄 모르는 사람들이 꽤나 많습니다. 피싱 경험만으로는 크립토 드레이너 같은 도구를 만들 수는 없죠. 하지만 그런 장치를 늘 원해 왔을 겁니다. 그 부분을 크립토 드레이너가 치고 들어간 것이라고 볼 수 있습니다. 즉 크렙토 드레이너는 피싱 공격자들을 대상으로 한 서비스가 새로운 사업 아이템으로서 자리를 잡는 현상을 가시적으로 나타내는 것일 수 있습니다.”

암호화폐 시장은 기본적으로 제도적인 보호 장치가 부족하기 때문에 피싱 공격에 당하더라도 구제받을 수 있는 방법이 전무하다. 개개인이 조심하거나 거래처 차원에서 보호 장치를 마련해야 하는데, 여기에는 한계가 있다. “거래처 플랫폼들이 고객들을 대상으로 보안 교육 등을 진행하거나 꼼꼼한 보안 장치를 마련해야 하는데, 기대하기 힘든 부분이긴 합니다.”

그래서 암호화폐 시장을 노리는 사이버 범죄 수법은 빠르게 진화한다. 2022년 한 해 동안에만 38억 달러의 암호화폐가 각종 해킹 및 피싱 공격으로 사라졌다. 작년 10월 한 달에만 32건의 암호화폐 관련 공격이 있었고, 총 7억 7570만 달러가 손실됐다. 손실 규모로 보자면 디파이(DeFi, 탈중앙화 금융) 플랫폼들이 가장 심각한 타격을 입고 있는 것으로 조사되고 있다.

3줄 요약

1. 다크웹에서 템플릿만 구매하면 암호화폐 지갑을 마음껏 털 수 있는 세상.

2. 템플릿은 정식 피싱 사이트를 런칭하게 해 주되, 거기에는 암호화폐를 훔치는 스크립트가 있음.

3. 어쩌면 그 동안 피싱 공격자들이 원하던 서비스일지도.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=114043&page=2&mkind=1&kind=1)]​