최근 사이버보안 기업 코이 시큐리티는 파이어폭스(Firefox) 사용자를 대상으로 한 대규모 악성 확장 프로그램 유포에 대한 경고를 발표했다. 이 공격은 코인베이스, 메타마스크, 트러스트월렛, 팬텀, 오케이엑스 등 인기 있는 암호화폐 지갑으로 위장한 40개 이상의 확장이 포함되어 있으며, 피해자의 지갑 정보를 탈취하여 해커의 서버로 몰래 전송하는 방식으로 진행된다.

이 악성 프로그램은 2025년 4월부터 본격적으로 확산되기 시작했으며, 현재까지도 모질라의 확장 프로그램 스토어에 여러 악성 파일들이 지속적으로 업로드되며 사용자에게 위협을 가하고 있다. 설치된 확장은 사용자의 IP 주소를 전송하고, 사용자가 방문하는 웹사이트에서 비밀 지갑 키를 추출해 그 정보를 코인 거래 및 보유 내역을 정교하게 추적하는 수단으로 활용된다.

공격자들은 수백 개의 가짜 긍정적인 리뷰를 통해 해당 확장을 모질라 스토어의 상위에 노출시켜 높은 신뢰도를 구축하였다. 이들은 오픈소스 지갑 확장을 복제해 정상적으로 작동하는 듯 보이게 한 뒤, 백그라운드에서 악성 코드를 실행하여 사용자 정보를 탈취하고 있다. 이러한 정교한 조작 덕분에 많은 사용자가 의심 없이 피해를 보고 있다.

코이 시큐리티는 이번 캠페인이 공통적으로 사용한 서버 인프라, 코드 구조, 해킹 기술 등에서 조직적인 범죄의 흔적을 발견했다며, 사용자에게 악성 확장 프로그램을 즉시 삭제하고 지갑 키를 변경할 것을 권고했다. 또한 모질라와 협력하여 이러한 확장 프로그램을 빠르게 제거하고 향후 위협 요소를 차단하겠다는 의지를 보였다.

상당히 주목할 만한 부분은 코드 내부에서 발견된 러시아어 주석과 조작 서버의 PDF 메타데이터로, 이는 공격 뒤에 있는 해커 그룹이 러시아어를 사용하는 조직일 가능성을 시사한다. 하지만 이는 명백한 증거로 간주되지는 않아 추가적인 조사가 필요다고 밝혔다.

이번 사건은 최근 몇 개월 사이에 나타난 러시아와 연결된 피싱 범죄와 유사한 양상을 띠고 있다. 예를 들어, 블록체인 보안기업 슬로우미스트(SlowMist)는 과거에 가짜 줌(Zoom) 미팅 링크를 통한 해킹 사건을 추적하면서 역시 러시아어 기반 코드가 활용된 사례를 발견한 바 있다. 이들 해커는 피해자의 자산을 탈취한 후 이를 이더리움(ETH)으로 전환하여 대형 거래소에서 매도하는 방식으로 이익을 취하였다.

이처럼 암호화폐 사용자 수의 증가에 따라 지갑 해킹을 노린 공격들은 점점 더 교묘해지고 있다. 특히 브라우저 확장을 이용하는 공격 방식은 일반적으로 경계심이 낮은 사용자들에게 더 큰 위협이 될 수 있다. 보안 전문가들은 파이어폭스와 같은 오픈 환경을 사용하는 사용자라면 '공식 스토어'에 대한 신뢰보다는 확장의 정체성을 지속적으로 점검하는 것이 필수적이라고 강조하고 있다.

따라서 파이어폭스 사용자들은 자신들의 암호화폐 자산을 안전하게 보호하기 위해 보안에 대한 경각심을 잃지 말고, 연속적인 점검과 주의가 필요하다.