온라인에 ‘김정은’ 바이러스가 나타났다. 비트코인 지갑을 훔치는 악성코드다.
4일 보안업계에 따르면 국내서 비트코인 등 가상화폐 지갑을 훔쳐가는 악성코드가 유포됐다. 변종도 계속 감지된다. 특정 프로그램을 실행하지 않고 보안이 취약한 PC가 웹사이트를 방문하면 악성코드에 감염된다.
해당 악성코드는 김정은(v1_KimChenIn)이라는 중복실행방지 문구(뮤텍스)를 생성한다. 악성코드 존재를 숨기려고 ‘kim.bat’이란 배치파일을 생성한다. 러시아나 우크라이나 등 동유럽 국가는 북한 국방위원장 김정은을 ‘KimChenIn’로 쓴다.
보안업계는 악성코드 제작자가 ‘KimChenIn’이란 이름을 넣고 한국을 주요 범죄 대상국으로 삼았다고 분석했다. 러시아 사이버 범죄 조직으로 추정된다. 김정은 악성코드는 지난해 말 유포된 한글버전 랜섬웨어 ‘라다만트’ 제작자가 만들었다. 라다만트는 한국어 페이지를 제공하는 랜섬웨어다. 성탄절 동안 쇼핑 사이트에서 유포됐다. 해당 조직은 랜섬웨어로 각종 파일을 암호화한 후 비트코인을 대가로 받는다. 이제는 PC에 생성된 비트코인 지갑을 훔치는 악성코드까지 만들었다.
비트코인은 익명성 보장과 함께 최근 가치가 상승하며 사이버 범죄를 부추기는 요인으로 떠올랐다. 한국은행이 내놓은 ‘분산원장 기술과 디지털통화의 현황 및 시사점’ 보고서에 따르면 2015년 12월 이후 1비트코인은 422달러(약 51만원) 이상으로 상승했다. 비트코인 계좌 수도 꾸준히 증가했다. 사이버 범죄자들은 랜섬웨어와 분산서비스거부(DDoS) 공격을 하고 대가로 비트코인을 요구한다.
비트코인을 훔치는 악성코드는 이런 기류에 편승에 등장했다. 악성코드는 사용자 PC 내부에 저장된 가상화폐 지갑 파일을 가져간다. 사용자 인터넷 사용 내역을 감시하다가 비트코인 지갑 비밀번호를 사용하면 내역을 공격자에게 전송한다.
카스퍼스키랩은 “비트코인이 확산되며 채굴풀과 거래소, 사용자를 노린 공격이 지속적으로 문제가 될 것”이라고 전망했다.
최상명 하우리 실장은 “관련 조직이 한국을 주요 시장으로 삼아 랜섬웨어를 퍼트리고 비트코인 지갑을 훔치는 새로운 악성코드를 만든다”며 “올해 불특정 다수에 무차별 공격을 퍼트리는 악성코드 공격이 급증할 전망”이라고 말했다.
김인순 보안 전문기자 insoon@etnews.com