러시아 해킹그룹 'GreedyBear'가 가짜 암호화폐 지갑 확장프로그램을 이용해 불과 5주 만에 100만 달러(약 13억원)를 탈취한 것으로 드러났다. 사이버보안 업체 코이시큐리티가 11일(현지시간) 발표한 보고서에 따르면, 이들은 150개의 악성 파이어폭스 확장프로그램을 운영하며 메타마스크, 엑소더스, 래비월렛 등 주요 암호화폐 지갑을 위조해 유통했다.
특히 주목할 점은 이들이 사용한 '익스텐션 할로잉' 기법이다. 처음엔 정상적인 확장프로그램을 브라우저 스토어에 업로드한 뒤, 나중에 악성코드로 업데이트해 보안 검증을 우회했다. 가짜 리뷰까지 작성해 신뢰도를 높이는 치밀한 방식을 사용했다.
GreedyBear는 이전 4~7월 캠페인에서 40개 확장프로그램만 운영했던 것에 비해 규모를 대폭 확대했다. 브라우저 확장프로그램 외에도 500여개의 악성 실행파일과 수십 개의 피싱 웹사이트를 통해 다각적인 공격을 펼치고 있다.
흥미롭게도 모든 공격 도메인이 단일 IP 주소(185.208.156.66)로 연결돼 있어 중앙집권적 운영 구조를 보인다. 전문가들은 이를 국가 지원이 아닌 수익 추구 목적의 조직범죄로 분석하고 있다.
코이시큐리티의 이단 다르디크만 최고기술책임자는 "파이어폭스 캠페인이 영어권 사용자를 주로 겨냥하고 있어 글로벌 DeFi 플랫폼을 활용하는 한국 투자자들도 표적이 될 수 있다"고 경고했다.
전문가들은 검증된 개발자의 확장프로그램만 설치하고, 대량 자산 보유 시 하드웨어 지갑을 사용할 것을 권고했다. 또한 공식 제조사 웹사이트에서만 하드웨어 지갑을 구매해야 한다고 강조했다. GreedyBear가 하드웨어 지갑 판매 사이트까지 위조하고 있기 때문이다.
