InfoStealer 악성코드 및 사이버 보안 위협

최근 사이버 보안 업계에서 가장 두드러진 위협 요소 중 하나로 부상한 것이 바로 ‘InfoStealer’ 악성코드입니다. 이 악성코드는 사용자의 동의 없이 민감한 정보를 빼내기 위해 설계된 악성 프로그램으로, 특히 로그인 정보, 클립보드 기록, 자동 완성 데이터, 브라우저 저장 암호, 암호화폐 지갑 키 등 디지털 자산과 직접적으로 연결된 데이터를 주요 타깃으로 삼고 있습니다.
이러한 위협이 증가하면서 암호화폐 시장, 특히 비트코인 생태계에 심각한 영향을 미치고 있다는 점은 아직 많은 개인 투자자들과 중소형 거래소, 관련 기업들이 간과하고 있는 부분입니다. 이 글에서는 InfoStealer 악성코드가 비트코인 시장과 어떤 방식으로 연결되는지, 그리고 어떤 구조적 위험 요소가 내포되어 있는지를 다각도로 분석해보고자 합니다.

InfoStealer의 주요 공격 대상인 암호화폐 지갑

비트코인 등 디지털 자산은 본질적으로 ‘지갑’이라는 소프트웨어에 의해 관리됩니다. 이 지갑은 개인 키(private key)를 저장하고 거래에 대한 서명을 진행하는 핵심 역할을 수행하는데, 이 키가 탈취당하는 순간 사용자의 자산은 사실상 ‘공중에 날아간 것’이나 다름없습니다.
RedLine, Vidar, LummaC2, Raccoon Stealer와 같은 InfoStealer 계열 악성코드는 대부분 클립보드 내용을 모니터링하며 비트코인 주소 형태의 문자열을 탐지합니다. 예를 들어, 사용자가 비트코인 주소를 복사해 붙여넣으려는 순간, 악성코드는 이를 공격자의 지갑 주소로 자동 교체해 버립니다. 결과적으로 송금은 공격자에게 이루어지고, 피해자는 이를 인지하지 못한 채 자산을 잃게 됩니다.
또한 브라우저 기반 지갑이나 데스크탑 지갑의 로그인 정보, 시드 문구(mnemonic phrase), JSON 키 등을 수집하여 실시간으로 외부 서버로 전송하는 기능도 포함되어 있어, 자산의 보관 장소가 온라인에 연결되어 있다는 사실만으로도 이미 위협에 노출된 셈입니다.

거래소 계정 도용과 자산 유출

InfoStealer는 개인 지갑만이 아니라 중앙화 거래소 계정(CEX)에도 위협을 가합니다. 사용자의 이메일, 비밀번호, 인증 쿠키 등 세션 정보를 탈취하여 Binance, Coinbase, Upbit 등의 계정에 무단 접속한 후 자산을 인출하는 사건이 이미 다수 발생하고 있습니다.

여기서 문제는 InfoStealer가 일반적인 키로거 방식의 악성코드보다 은밀하고 빠르게 작동한다는 점입니다. 예를 들어 LummaC2는 브라우저의 암호 저장소를 우회하고, 심지어 2단계 인증 정보(OTP 시도 기록, 인증 앱 메타데이터 등)를 수집해 다중 인증 체계마저 무력화할 수 있습니다. 특히 암호화폐 거래소에서는 API 키와 비밀 키가 탈취될 경우 거래 봇을 악용한 대량 자산 유출이 일어나기 때문에, 피해는 단순 계정 탈취를 넘어 거래소 전체 보안에도 치명적 영향을 끼칩니다.

비트코인 시장의 신뢰성과 직접적인 연관성

비트코인 시장은 본질적으로 탈중앙화된 신뢰 구조 위에 서 있습니다. 그러나 사용자의 자산 보관과 거래는 여전히 중앙화된 플랫폼(CEX), 또는 인터넷에 연결된 지갑(Hot Wallet)에 의존하고 있습니다. 이 지점에서 InfoStealer 악성코드는 신뢰 기반을 뒤흔드는 존재가 됩니다.
정보 유출 사건이 빈번해지면 사용자들의 심리적 불안이 커지고, 이는 직접적으로 비트코인에 대한 투자 위축으로 이어질 수 있습니다. 실질적으로 2023년 후반, Vidar 및 Raccoon Stealer 유포가 급증하던 시점에 다수의 거래소 사용자 자산 유출 사건이 발생하며 거래소별 순유입량이 일시적으로 급감하는 현상이 관찰되기도 했습니다. 이러한 유출은 단기적인 유동성 위축을 초래하며, 비트코인 가격의 불안정성과 맞물려 시장 전반의 불확실성을 증폭시킵니다.

DeFi와 Web3 환경 속 InfoStealer의 새로운 타깃

최근 DeFi 및 Web3 생태계의 확장 속에서, InfoStealer는 단순한 브라우저 감시를 넘어 스마트 계약 인터페이스까지 파고드는 양상을 보이고 있습니다. 예를 들어 MetaMask, TrustWallet 등 브라우저 확장 지갑은 Web3 기반 DApp들과의 연결을 통해 다양한 금융 활동을 가능하게 하지만, 동시에 브라우저 저장소에 민감한 메타데이터가 존재하게 됩니다.
실제 일부 InfoStealer 악성코드는 이러한 확장 프로그램을 대상으로 한 취약점 익스플로잇 기능까지 내장하고 있으며, DApp 서명 시 필요한 정보나 토큰 목록을 탈취하는 사례도 보고되고 있습니다. 이는 단순한 지갑 해킹을 넘어 스마트 계약 자체를 조작하거나, 탈취한 권한을 이용해 자동화된 대출, 유동성 이동 등의 행위를 일으킬 수도 있는 위험으로 이어집니다.

대응 전략

비트코인과 같은 디지털 자산 시장에서는 ‘내 자산은 내가 지킨다’는 인식이 중요합니다. 이를 위해서는 다음과 같은 보안 수칙이 필수적입니다.

하드웨어 지갑 사용: 민감한 자산은 인터넷에 연결되지 않는 콜드 월렛에 보관합니다.
2FA 외에 FIDO2 보안키 도입: OTP 방식은 더 이상 충분하지 않습니다.
브라우저 확장 프로그램 정기 검토: 의심스러운 플러그인은 즉시 제거합니다.
정기적인 비밀번호 변경 및 보안 감사: 보안 습관은 반복을 통해 강화됩니다.
공식 앱스토어 외 다운로드 금지: 크립토 관련 도구는 반드시 공식 소스만 이용합니다.

InfoStealer 악성코드의 위협은 단순한 개인정보 유출을 넘어, 비트코인 시장 전체의 신뢰 기반을 위협하는 요소로 진화하고 있습니다. 기술의 발전이 가져온 편의와 이익은 분명 존재하지만, 그에 따른 보안적 대응은 여전히 후발적인 경우가 많습니다. 개인 투자자부터 기관 투자자에 이르기까지 ‘사이버 위생(cyber hygiene)’은 이제 선택이 아닌 필수입니다.

비트코인의 미래는 기술이 아닌 신뢰에 달려 있습니다. 그리고 그 신뢰는 지금 이 순간, 우리가 얼마나 정보 보안에 진지하게 접근하는지에 따라 결정될 것입니다.