안드로이드 기반 스마트폰 사용자들을 겨냥한 새로운 악성코드 '랫온(RatOn)'이 등장하면서, 메타마스크(MetaMask), 트러스트 월렛(Trust Wallet), 팬텀(Phantom), 블록체인닷컴(Blockchain.com)과 같은 중요한 암호화폐 지갑의 보안에 위협이 되고 있다. 네덜란드 보안기업 트렛패브릭(ThreatFabric)의 최근 연구에 따르면, '랫온'은 고도로 발전된 리모트 액세스 트로이목마(RAT)로, 감염된 스마트폰을 원격 조종하여 사용자 암호화폐 지갑을 탈취할 수 있는 기능을 지니고 있다.

'랫온'은 기존의 은행 트로이목마 공격 방식을 통합하여 더욱 위험한 형태로 진화했으며, 지난 6월 최초 감지 이후 8월에는 그 활동이 급증하면서 피해가 확산되고 있다. 영어 외에도 체코어, 슬로바키아어 등 다국어를 지원하며, 여러 보안 프로그램에 잘 탐지되지 않는 점이 특징이다. 이는 보안 취약점을 악용하는 수단으로 작용하고 있다.

이 악성코드는 암호화폐 지갑 애플리케이션을 자동으로 실행하고, 키 입력 기록을 로깅하거나 오버레이 기법을 통해 PIN 코드를 취득한다. 이러한 PIN 코드를 이용해 사용자의 비밀번호를 입력한 후, 앱의 사용자 인터페이스를 조작하여 시드 구문(복구 암호)을 노출시키는 데 사용할 수 있다. 만약 복구 구문이 탈취당하면, 공격자는 지갑의 소유권을 완전히 가질 수 있어 사용자의 모든 자산이 곧바로 사라질 위험이 있다.

트렛패브릭 측은 "'랫온'은 단순한 피싱이나 소셜 엔지니어링 공격을 넘어서, 자동화된 탈취 시나리오를 실행할 수 있는 수준으로 발전했다"며 경고하고 있다. 일반 사용자들에게는 감염 여부를 파악하는 것이 어려워, 신규 안드로이드 기기나 지갑을 설치할 때 더욱 주의해야 할 필요성이 강조된다.

2019년 이후 대부분의 보안 공격이 크롬 확장 프로그램이나 이메일 피싱을 통해 이루어지고 있었으나, 이번 사례는 모바일 기반 공격 벡터가 본격화되고 있다는 점에서 중요한 의미를 갖는다. 전문가들은 구글 플레이 스토어 외부에서 앱을 다운로드하지 않고, 최신 보안 패치를 유지하며, 2단계 인증을 반드시 설정하는 것과 같은 기본적인 보안 수칙을 준수할 것을 촉구하고 있다.

암호화폐 사용자 수가 증가함에 따라 해커들의 공격 방식도 점점 더 정교해지고 있으며, 최근에는 트럼프가 관련된 NFT 프로젝트조차 애드웨어 설치 링크를 통해 공격받는 사례가 발생했다. 이러한 경과는 모든 사용자가 자산 관리의 책임을 스스로 져야 하는 시대에 돌입했음을 시사하고 있다. 피해를 예방하기 위해서는 적극적인 보안 점검과 주의가 요구된다.