최근 구글 크롬과 모질라 파이어폭스 사용자들을 목표로 한 조직적 암호화폐 자격 증명 탈취 공격이 발생해 보안 업계에 비상이 걸렸다. 이 공격은 2025년 4월부터 본격적으로 시작되어 현재까지 약 3개월 동안 지속되고 있으며, 확인된 악성 파이어폭스 확장 프로그램의 수는 45개에 달한다. 사용자 신뢰를 악용한 이러한 악성 코드들은 정교한 위장 전략을 통해 암호화폐 지갑 정보를 빼내고 있는 것으로 확인됐다.

이번 공격의 주된 방식은 메타마스크, 코인베이스, 트러스트월렛, 팬텀, 오케이엑스(OKX), 이더리움 월렛과 같은 주요 암호화폐 지갑을 사칭한 브라우저 확장 프로그램을 이용하는 것이다. 보안 업체 코이 시큐리티(Koi Security)의 유발 로넨(Yuval Ronen) 연구원에 따르면, 이들 확장은 실제 오픈 소스 코드를 복제해 악성 로직을 삽입하여 정상적인 작동을 가장하고 있다. 사용자가 지갑 정보를 입력하는 순간, 이 정보는 공격자의 원격 서버로 전송된다. 또, 피해자의 IP 주소도 추적 목적으로 함께 전송된다.

특히 공격자들은 익숙한 브랜드 로고와 높은 사용자 평가, 그리고 이미 존재하는 리뷰를 조작하여 신뢰를 유도하고 있다. 정상 확장 프로그램과 시각적으로 거의 구별할 수 없을 정도로 만들어졌기 때문에 일반 사용자가 악성 여부를 식별하기 어렵다. 이러한 점이 암호화폐 커뮤니티에서 널리 사용되는 플랫폼을 목적으로 삼았기 때문에 이 캠페인의 파급력을 더욱 키우고 있다.

실제로 코인베이스는 지난 5월 내부자 해킹 사건으로 인해 고객 약 7만 명의 개인정보가 유출된 사건을 발표했다. 당시 공격자들은 피해자에게 이메일을 통해 직접적인 협박 메시지를 전송하는 디지털 납치 형태의 피해를 야기했다. 미국 재무부의 해외자산통제국(OFAC)과 금융실무그룹(FATF)도 암호화폐 범죄의 증대에 대응하고 있으나, 여전히 많은 사용자가 이러한 사이버 공격에 노출되고 있는 실정이다.

코이 시큐리티는 이 사례를 통해 브라우저 확장 프로그램 설치 시 반드시 검증된 게시자만 선택하고, 설치 전에 전체 기능과 권한을 꼼꼼히 점검해야 한다고 경고했다. 또한 기업 내 보안 관리자는 설치 후에도 소유권 변경 여부나 비정상적인 작동 징후를 지속적으로 모니터링해야 한다고 강조하였다.

2025년 상반기 기준으로 전 세계 암호화폐 해킹 피해액은 이미 22억 달러(약 3조 580억 원)를 초과하였다. 사용자의 안전을 위해서는 개인적인 주의가 필수적이며, 컴퓨터와 브라우저 제작사, 확장 프로그램 마켓플레이스의 감시 역량 강화를 요구하는 목소리가 높아지고 있다. 현재로서는 사용자의 보안 인식 확대와 지갑 정보 보호법 준수가 최선의 방어책으로 꼽히고 있다.