USB 암호화폐 지갑 탈취 악성코드 확산, 윈도우 바로가기 파일로 개인키와 송금 주소 노린다

암호화폐 지갑 탈취 악성코드의 핵심 위험은 지갑 앱이 아니라 사용자의 전송 경로를 장악한다는 데 있다. 공격자는 USB 저장장치 안의 바로가기 파일을 미끼로 삼아 윈도우 PC에 웜을 설치하고, 이후 클립보드에 복사되는 개인키와 지갑 주소 패턴을 감시한다. 사용자가 송금 주소를 복사해 거래소나 지갑에 붙여넣는 순간 악성코드는 목적지 주소를 공격자 지갑으로 바꿔치기한다. 블록체인 송금은 승인 뒤 되돌리기 어렵기 때문에 피해는 거래가 체결되는 즉시 확정될 수 있다.

USB 바로가기 파일이 감염 통로

공격 흐름은 USB 삽입, LNK 바로가기 실행, 웜 설치, 클립보드 감시, 주소 교체의 5단계로 요약된다. 사용자가 파일 탐색기에서 문서나 폴더처럼 보이는 바로가기를 누르면 실제 대상 대신 악성 설치 명령이 실행된다. 웜 형태로 동작하기 때문에 같은 PC에 연결되는 다른 USB로도 복제될 수 있고, 오프라인 백업용 저장장치를 자주 쓰는 투자자에게 특히 위험하다. 현재 감염 건수, 탈취액, 공격자 지갑 수는 특정할 수 없다. 다만 피해 단위는 거래 1건마다 달라진다. 개인키 1개가 노출되면 해당 지갑의 전체 잔액이 위험해지고, 주소 교체 1회만 성공해도 송금액 전부가 엉뚱한 지갑으로 이동한다.

국내 투자자에게 생기는 위험

국내 이용자는 원화 입출금 거래소, 개인 지갑, 해외 디파이 서비스를 오가며 주소를 복사하는 경우가 많다. 이 습관이 클립보드 하이재킹 공격의 표적이다. 원화 환산 피해액은 코인 수량, 거래 체결가, 환율을 곱해 산정되며, 스테이블코인·비트코인·이더리움처럼 즉시 전송되는 자산일수록 복구 가능성이 낮다. 국내 가상자산사업자는 이상거래 탐지와 고객확인을 강화하고 있지만, 개인 지갑에서 서명된 온체인 송금까지 되돌리는 것은 제도적으로도 기술적으로도 제한적이다. 기업 보안팀은 업무망에서 개인 USB를 차단하고, 바로가기 실행 정책과 이동식 저장장치 검사 로그를 점검해야 한다.

확인 습관이 최종 방어선

전망은 명확하다. 지갑 탈취 악성코드는 거래소 해킹보다 작은 단위로 반복되며, 개인 PC와 이동식 저장장치를 노리는 방식으로 계속 확산될 가능성이 크다. 사용자는 USB 자동 실행을 끄고, 알 수 없는 바로가기 파일을 열지 말며, 송금 전 주소 앞뒤 문자만이 아니라 전체 주소를 하드웨어 지갑이나 별도 화면에서 대조해야 한다. 개인키는 클립보드에 복사하지 않는 것이 원칙이다. 백신 업데이트, 윈도우 보안 패치, 읽기 전용 백업 매체 사용은 선택이 아니라 기본 보안 절차다.