[경고] 메타마스크‧코인베이스 사칭한 악성 파이어폭스 확장프로그램, 암호화폐 유출 사고 잇따라

사이버보안 기업 코이시큐리티(Koi Security) 연구팀이 메타마스크(MetaMask), 코인베이스(Coinbase), OKX 등 유명 암호화폐 플랫폼을 사칭한 40개 이상의 가짜 파이어폭스(Firefox) 확장프로그램을 적발했습니다. 이 위험한 확장 프로그램들은 사용자의 암호화폐 지갑 자격증명을 탈취하는 악성코드를 포함하고 있습니다. 보안 업체 보고서에 따르면, 오픈소스 브라우저인 파이어폭스를 사용하는 암호화폐 사용자들의 자산이 심각한 위협에 직면해 있습니다.

최소 2025년 4월부터 활동 중인 대규모 사기 캠페인은 모질라 애드온 스토어에서 여전히 다운로드 가능한 악성 확장프로그램을 활용하고 있으며, 이는 브라우저의 플러그인 심사 과정에 중대한 결함이 있음을 드러냈습니다. 코이시큐리티는 이 가짜 확장 프로그램들이 합법적인 지갑 서비스와 놀라울 정도로 정확하게 유사하며, 동일한 이름, 로고, 브랜딩을 사용해 사용자를 속이고 있다고 경고했습니다.

대부분의 경우, 이 확장 프로그램들은 오픈소스 지갑의 코드를 복제한 뒤, 정상적인 플러그인처럼 기능하면서도 암호화폐를 훔칠 수 있게 악성코드를 은밀히 삽입했습니다. 위험에 노출된 주요 지갑 브랜드로는 메타마스크, 코인베이스, OKX 외에도 트러스트 월렛(Trust Wallet), 팬텀(Phantom), 엑소더스(Exodus) 등이 포함됩니다.

이러한 악성 확장 프로그램은 설치되면 조용히 지갑 보안 정보를 추출해 공격자가 제어하는 원격 서버로 전송합니다. 로그인 자격증명을 훔치는 것 외에도, 이 악성코드는 사용자의 외부 IP 주소까지 수집해 추가적인 프로파일링이나 후속 공격에 활용할 가능성이 있습니다.

공격자들은 플러그인 마켓플레이스의 신뢰 메커니즘도 악용하고 있습니다. 수백 개의 가짜 5성 리뷰로 신뢰도를 높여 실제 설치 수를 훨씬 웃도는 경우가 많았습니다. 코이시큐리티는 확장 프로그램 코드에 포함된 러시아어 코멘트 등으로 미루어 러시아어권 해킹 그룹의 관여 가능성을 제기했습니다.

브라우저 확장프로그램은 일반적으로 높은 권한으로 작동하기 때문에, 피해자는 자산이 유출된 후에서야 문제를 인지할 수 있습니다. 전문가들은 암호화폐 사용자가 증가하고 브라우저 기반 지갑 상호작용이 일상화되면서 이러한 위험이 더욱 커질 것으로 경고합니다.