OkoBot 악성코드, 20개 모듈로 비트코인(BTC) 지갑 시드 문구 탈취
BTC/USDT
$5,396,603,141.55
$64,906.40 / $63,886.65
차이: $1,019.75 (1.60%)
+0.0025%
롱 지불
AI 요약AI
- 카스퍼스키가 공개한 OkoBot은 약 20개 모듈로 구성돼 브라질·베트남·캐나다·멕시코·튀르키예 등 5개국 사용자를 감염시켰다.
- 핵심 모듈 SeedHunter는 렛저·트레저를 흉내 낸 가짜 화면으로 12개 또는 24개 단어 복구 문구를 탈취한다.
- 카스퍼스키는 OkoBot을 2025년 TookPS 캠페인으로 추적했으며 20개 페이로드가 단일 SSH 터널로 통제된다고 밝혔다.
- 공포·탐욕 지수 25, 비트코인 도미넌스 69.9%, 전체 시가총액 약 1조 8,500억 달러 상황에서 사회공학 공격 위험이 부각됐다.
이 요약은 인공지능으로 생성되어 AI 검토를 거쳤으며 COINOTAG 편집 감독 하에 게시되었습니다.
암호화폐 뉴스
보안 기업 카스퍼스키가 암호화폐 지갑 복구 문구를 노리는 악성코드 프레임워크 ‘OkoBot’을 공개했다. 약 20개의 개별 모듈로 조립된 이 프레임워크는 등장한 지 1년가량 됐으며, 지갑의 시드 문구를 겨냥하도록 설계됐다. 우리가 확인한 이번 공개 자료에 따르면 이미 브라질, 베트남, 캐나다, 멕시코, 튀르키예 등 최소 5개국 사용자가 피해를 입었고, 반면 운영자들은 러시아와 독립국가연합(CIS) 소속 국가의 IP를 의도적으로 차단했다. 모듈형 구조 덕분에 공격자는 감염된 한 대의 기기에서 지갑 파일과 브라우저 데이터, 로그인 자격증명을 한꺼번에 수집할 수 있다. 시드 문구는 지갑에 대한 완전한 통제권을 넘겨주는 열쇠이자, 블록체인 전송은 되돌릴 수 없기 때문에 피해자는 사실상 전액 손실에 직면한다.
감염은 소프트웨어 취약점이 아니라 사회공학에서 시작된다. OkoBot은 정상 도구로 위장한 깃허브(GitHub) 저장소를 통해 배포되며, 여기에는 마이크로소프트 SQL 서버 매니지먼트 스튜디오의 가짜 빌드도 포함된다. 카스퍼스키는 이 과정에서 ‘클릭픽스(ClickFix)’ 기법이 광범위하게 쓰였다고 밝혔다. 클릭픽스는 가짜 오류 메시지나 인증 창, 수리 안내를 띄워 피해자가 스스로 악성 명령어를 자신의 터미널에 붙여넣도록 유도하는 수법이다. 안내대로 따라 하면 백도어가 조용히 설치된다. 익스플로잇이 아니라 사용자 본인이 페이로드를 실행하기 때문에 기존 방어 체계를 우회하며, 비트코인과 알트코인 보유자를 겨냥한 이런 패턴은 보안팀들이 점점 더 자주 목격하고 있다.
탈취의 핵심에는 ‘SeedHunter’ 모듈이 있다. 이 모듈은 렛저(Ledger), 트레저(Trezor) 같은 하드웨어 지갑을 흉내 낸 가짜 복구 화면을 띄운다. 사용자가 12개 또는 24개 단어로 된 복구 문구를 이 위조 화면에 입력하는 순간, 데이터는 곧바로 운영자에게 전송되고 공격자는 지갑을 복원해 자금을 통째로 인출할 수 있다. 이 수법은 하드웨어 지갑이 오프라인에 보관하도록 설계된 단 하나의 비밀을 정조준한다. 자기수탁형 지갑을 운용하는 이용자에게 교훈은 명확하다. 정품 기기는 결코 데스크톱 창에 시드 문구를 다시 입력하라고 요구하지 않는다.
추가된 두 개의 모듈은 감시 범위를 넓힌다. ‘MC 키로거’는 키 입력을 기록하고 클립보드 활동을 감시해 비밀번호와 복사된 지갑 주소를 실시간으로 가로챈다. ‘OkoSpyware’는 지갑 비밀번호를 추적하고 열려 있는 창의 화면을 영상으로 녹화해 피해자의 활동을 관찰한다. 두 모듈은 많은 트레이더가 안전하다고 믿는 복사·붙여넣기 습관을 무력화하며, 같은 기기에서 돌아가는 거래소 계정이나 자동화된 AI 트레이딩 봇의 자격증명까지 조용히 탈취할 수 있다. 한 대의 호스트에서 여러 유형의 데이터를 뽑아내는 능력 탓에, 부주의한 설치 한 번이 지갑이나 로그인 하나가 아니라 포트폴리오 전체를 노출시킨다.
OkoBot은 갑자기 등장한 것이 아니다. 카스퍼스키는 이 악성코드의 뿌리를 가짜 소프트웨어 웹사이트로 트로이목마 다운로더를 유포한 2025년 캠페인 ‘TookPS’로 추적했으며, 2026년 1월 이후 새 계열과 연결된 다수의 공격을 확인했다. 이번 세대를 구별짓는 것은 그 배관망이다. 20개의 페이로드 전부가 단일 SSH 터널 하나로 통제되는데, 이는 감염된 컴퓨터에서 공격자 기기로 탈취 데이터를 실어 나르면서 정상 네트워크 트래픽에 섞여 들어가는 암호화 채널이다. 연구진은 모듈형·재사용 구조가 모방범의 진입 장벽을 낮춰, 시드 문구를 노리는 파생 키트가 원래 운영자를 훨씬 넘어 확산될 수 있다고 경고했다.
이 캠페인은 암호화폐를 만드는 사람들을 겨냥한 더 넓은 흐름의 일부다. 별개로 블록체인 보안 연구진(SlowMist)은 공격자가 링크드인(LinkedIn)에서 웹3 채용 담당자를 사칭한 뒤, 지원자에게 면접 전 시험용 최소기능제품(MVP)이라며 가짜 깃허브 저장소를 보내는 수법을 포착했다. 기술 검증 과정에서 으레 하는 이 코드 실행은 프로젝트 키와 클라우드 자격증명, 지갑 확장 프로그램 데이터를 탈취하는 원격접속 트로이목마(RAT)를 심는다. 이와 연관된 또 다른 작전은 macOS 사용자를 노려 텔레그램 세션을 탈취했다. 이 미끼들 어디에도 정상적인 토큰 에어드롭은 없지만, 표적의 경계심을 허물기 위해 똑같은 신뢰 기반 서사를 빌려 쓴다.
이 사건들을 함께 읽으면 여러 전략이 아니라 하나의 전략이 드러난다. 공격자들은 암호를 깨는 방식에서 인간의 신뢰를 깨는 방식으로 이동했고, 깃허브와 링크드인, 가짜 지갑 화면을 무기 삼아 시드 문구에 곧장 접근한다. COINOTAG 자체 시장 데이터는 그 시점의 중요성을 뒷받침한다. 공포·탐욕 지수가 25(극단적 공포)에 머물고, 비트코인 도미넌스가 69.9% 안팎, 전체 암호화폐 시가총액이 약 1조 8,500억 달러인 상황에서, 자금을 지키거나 옮기려 서두르는 불안한 보유자들이야말로 사회공학 키트가 노리는 정확한 표적이다. 우리의 판단으로는 이제 운영 보안(OpSec)이 어떤 가격 지지선이나 역대 최고가 못지않게 자본을 지킨다. 복구 문구가 한 번 유출되면 어떤 시장 반등으로도 되돌릴 수 없는 손실이 남기 때문이다.
COINOTAG은 금융 자문 서비스를 제공하지 않습니다. 이 콘텐츠는 정보 제공 목적으로만 제공되며 투자 조언으로 간주되어서는 안 됩니다. 암호화폐 투자는 높은 위험을 수반합니다.
관련 태그
이 콘텐츠는 인공지능으로 생성되어 AI 검토를 거쳤으며 COINOTAG 편집 감독 하에 게시되었습니다.


