USB 드라이브로 전파되는 ‘크립토 클리퍼’ 악성코드, 윈도우 사용자들 주의

최근 마이크로소프트는 윈도우 사용자들에게 USB 드라이브를 통해 전파되는 ‘크립토 클리퍼’ 악성코드에 대한 경고를 발표했다. 이 악성코드는 단순 암호화폐 지갑 탈취를 넘어 원격 코드 실행 기능을 탑재해 ‘경량 백도어’로 기능한다고 설명됐다.Clipboard 데이터를 지속적으로 모니터링하며 지갑 주소와 개인키를 탈취하는 동시에, USB 저장장치로의 자동 전파까지 수행하는 이 악성코드는 전형적인 ‘정보 탈취형’ 악성코드와는 차별화된 위협으로 분류된다. 특히 Tor 네트워크를 통해 제어 서버와 통신하면서 추적과 차단을 어렵게 만드는 특징을 갖고 있다.

이 악성코드의 전파 경로는 USB 드라이브에 크게 의존한다. 감염된 시스템에 연결된 USB 저장장치에 악성코드가 자동 복제되면서, 다른 시스템으로의 2차 감염이 발생한다. 또한 윈도우 문서 폴더에 은닉된 자바스크립트 페이로드를 통해 스케줄링된 작업으로 악성코드 컴포넌트가 구동되면서, 사용자의 눈에 띄지 않는 형태로 지속적인 활동이 가능하다. 이러한 전파 방식은 전통적인 인스톨러나 IP 기반 인프라에 의존하지 않기 때문에 기존 보안 솔루션으로는 탐지가 어려운 경우가 많다.

크립토 클리퍼의 핵심 공격 방식은 clipboard를 지속적으로 감시하는 데 있다. 사용자가 암호화폐 지갑 주소나 개인키를 복사할 때마다 이를 가로채고, 공격자의 주소로 대체하는 방식으로 동작한다. 특히 BIP39 니모닉 시드 구문, 비트코인 및 이더리움 개인키 등 고가치 금융 정보에 대한 표적이 집중된다.不仅如此, 악성코드는 스크린샷 캡처 기능도 탑재해 지갑 관리 화면이나 거래 내역을 실시간으로 촬영해 공격자 서버로 전송한다. 이러한 다중 공격 방식은 즉각적인 금전적 이득뿐만 아니라 장시간에 걸친 시스템 통제까지 가능하게 한다.

이 악성코드의 또 다른 특징은 Tor 네트워크를 통한 명령 및 제어(C2) 통신이다. 공격자는 ugate.exe라는 이름으로 위장한 Tor 클라이언트를 은닉 설치한 후, 이를 통해 ‘온라인’ 주소로 연결된다. 이러한 익명화 기술은 보안 연구자나 법 집행기관의 추적을 어렵게 만들고, 공격자가 언제든지 추가 페이로드를 다운로드하거나 원격 명령을 실행할 수 있는 환경을 제공한다. 마이크로소프트는 이 악성코드를 단순히 정보 탈취용이 아니라 ‘경량 백도어’로 분류했는데, 이는 공격자가 감염된 시스템에 지속적으로 접근해 추가적인 악성 활동을 수행할 수 있음을 의미한다.

감염 과정에서 악성코드는 윈도우 시스템의 정상 파일들을 은폐하고, 악성 바로가기 파일로 대체하는 방식으로 사용자의 주의를 분산시킨다. 이러한 바로가기 파일은 정상적인 파일 아이콘과 이름을 사용해 사용자로 하여금 무심코 클릭하도록 유도하며, 이로 인해 악성코드가 실행되면서 추가적인 감염이 발생한다. 또한 스케줄링된 작업과 문서 폴더 내 자바스크립트 페이로드는 악성코드가 시스템 재부팅 후에도 지속적으로 동작할 수 있도록 보장한다. 이러한 은닉 및 지속성 메커니즘은 기업 및 개인 사용자 모두에게 심각한 보안 위협으로 작용할 수 있다.

이 악성코드의 위협은 단순히 암호화폐 도난에 그치지 않는다. 공격자는 감염된 시스템에 원격 코드 실행을 통해 랜섬웨어, 추가 악성코드 설치, 내부 정보 유출 등 다양한 후속 공격을 수행할 수 있다. 특히 기업 환경에서는 내부 네트워크로의 lateral movement(수평 이동)가 가능해져, 전체 조직의 보안 침해로 이어질 위험이 크다. 마이크로소프트는 이 악성코드가 2월부터 확인됐지만, 최근 들어 전파 방식과 은닉 기술이 더욱 정교해지면서 주의가 요구된다고 강조했다.

사용자들은 이 악성코드에 대한 예방책을 마련해야 한다. 가장 기본적인 조치는 USB 드라이브 사용 시 신뢰할 수 있는 출처의 것만 사용하고, 알 수 없는 장치 연결을 지양하는 것이다. 또한 윈도우 시스템의 자동 재생 기능을 비활성화하고, 외부 저장장치 연결 시 실시간 백신 검사를 수행하는 것이 중요하다.Clipboard 모니터링을 통한 지갑 주소 교체 공격에 대응하기 위해서는, 지갑 주소 복사 후 실제 송금 전에 한 번 더 확인하는 습관을 들이는 것이 좋다. 특히 BIP39 시드 구문 입력 시에는 화면 캡처 방지 기능을 활성화하거나, 가상 키보드를 사용하는 것이 안전한 대안이 될 수 있다.

기업 사용자의 경우, USB 포트 제어 정책을 도입하고, 엔드포인트 Detection and Response(EPP/EDR) 솔루션을 통해 악성코드 탐지 및 대응 능력을 강화해야 한다. 또한 직원들에게 보안 인식 교육을 실시해, 악성 바로가기 파일이나 은닉된 파일 구조에 대한 이해를 높이는 것이 중요하다. 특히 Tor 네트워크 사용을 모니터링하고, 비정상적인 외부 통신 패턴을 감지하는 시스템을 구축한다면, 이 악성코드와 같은 은닉형 위협에 대한 사전 대응이 가능해진다.

보안 업계에서는 이 악성코드가 보여주는 ‘하이브리드 위협 모델’이 주목받고 있다. 단순 정보 탈취형 악성코드가 점차 원격 코드 실행과 지속성 확보 기능을 탑재하면서,ransomware-as-a-service(RaaS)나 supply chain attack(공급망 공격)과 결합된 형태의 새로운 위협으로 진화하고 있는 것이다. 이러한 추세는 보안 솔루션 업체들이 기존의 signature-based detection에서 behavior-based detection으로 전환해야 함을 시사한다.

마지막으로, 사용자들은 시스템 백업을 주기적으로 수행하고, 중요 데이터는 오프라인 또는 암호화된 저장장치에 보관하는 것이 좋다. 특히 암호화폐 관련 자산을 관리하는 사용자의 경우, 하드웨어 월렛 사용을 적극 고려해야 한다.Clipboard 기반 공격은 소프트웨어 월렛에서 특히 취약하기 때문에, 하드웨어 월렛을 사용하면 지갑 주소 복사paste 과정을 생략할 수 있어 공격surface를 크게 줄일 수 있다.

이번 크립토 클리퍼 악성코드 사태는 USB 드라이브와 같은 물리적 매체를 통한 공격이 여전히 유효한 위협임을 보여준다. 특히 Tor 기반 C2 서버와 clipboard 모니터링, 원격 코드 실행 기능을 결합한 이 악성코드는 단순 ‘정보 탈취’를 넘어 ‘지속적 위협(APT)’으로 진화할 가능성이 있다. 사용자와 기업은 이 threat에 대한 인식을 높이고, 다층적인 보안 전략을 수립해야 할 시점이다. 향후 유사한 공격이 더욱 정교화될 가능성이 높으므로, 보안 업계와 사용자 간의 지속적인 협력이 필요하다.