Windows 파일 하나에 사기 작전 전체가 담길 수 있습니다. 2026년 6월, 연구자들은 단일 바이너리 안에 15,500개 이상의 공격자 지갑 주소가 내장된 악성코드를 발견했습니다. 이 주소들은 사용자가 암호화폐 주소를 복사하는 순간 조용히 교체될 기회를 기다리고 있었습니다.
무엇이 달라졌나: 15,500개 공격자 주소를 내장한 Rust 클리퍼
Check Point Research는 2026년 6월 17일 발표한 보고서에서 Rust 기반 "크립토 클리퍼"(전송 직전에 복사된 지갑 주소를 공격자 주소로 바꿔치기하는 클립보드 하이재킹 악성코드)가 실제로 활동 중임을 문서화했습니다 . 이 악성코드는 Windows와 macOS 모두를 표적으로 삼았으며, 가짜 수익 도구로 유포됐습니다. Solana/Pump.fun "스나이퍼 봇", Aviator 스타일 크래시 게임 예측기, 크랙된 지갑 유틸리티, "언락커" 등이 그 예입니다.
핵심 요약: 2026년 Check Point Research가 6월 17일 상세히 분석한 Rust 기반 크립토 클리퍼는 Windows 바이너리 하나에 15,500개 이상의 공격자 지갑 주소(비트코인 약 15,000개, 이더리움 약 500개)를 숨겨 둡니다. 사용자가 복사한 지갑 주소를 전송 직전에 공격자 주소로 조용히 교체합니다.
Windows 페이로드는 최소 11개 체인의 주소 문자열을 클립보드에서 감시합니다. 비트코인, 이더리움/EVM, 라이트코인, 트론, XRP, 카르다노, 모네로, 도지코인, 지캐시, 스텔라, 비트코인 캐시/골드가 대상이며, 감지 즉시 내장된 주소 중 하나로 교체합니다 . Microsoft는 이 범주를 "크라이웨어(cryware)"로 분류합니다.
"크라이웨어[란] 클립보드 주소를 가로채 교체하는 방식으로 비수탁형 핫 월렛을 표적으로 삼는 악성코드입니다"라고 Microsoft 보안팀은 밝힙니다. (source: Microsoft Security Blog).
피해자가 파일을 실행하기 전부터 운영자들은 신뢰성을 조작했습니다:
- WordPress 피싱 사이트와 GitHub·SourceForge 호스팅 활용
- AI 생성 진행자가 등장하는 YouTube 영상과 암호화폐 포럼 게시물 심기
- 조작된 스타·평점·다운로드 수, VirusTotal의 "안전" 댓글 및 추천
Check Point는 GitHub에서 약 5,000건(macOS 포함 1,250건 이상), SourceForge에서 44,485건의 다운로드를 확인했으며, 이는 대규모 조작의 흔적이 뚜렷한 수치입니다 . 한 번 실행되면 재부팅 후에도 조용히 지속됩니다.
| 특성 | 상세 |
|---|---|
| 내장 주소 수 (Windows) | 총 15,500개 이상 (BTC 약 15,000개, ETH 약 500개) |
| Windows 지속성 | %APPDATA%\silke\silke.exe 복사 + 시작 폴더 바로가기 등록 |
| macOS 지속성 | 30초 감시 프로세스가 포함된 ~/Library/LaunchAgents plist |
.NET 로더(예: SniperBot_Premium(Free).exe)는 Rust 클리퍼를 드롭하고 숨겨진 클립보드 리스너를 등록합니다. macOS 변종은 Gatekeeper를 우회하기 위해 피해자에게 xattr -cr로 격리 설정을 해제하도록 안내합니다. The Hacker News와 CoinDesk도 이를 보도했습니다.
왜 중요한가: 온체인 전송은 되돌릴 수 없다
클립보드 교체가 치명적인 이유는 단 하나입니다. 2022년 5월 17일 처음 제시된 후 지금도 유효한 Microsoft의 "크라이웨어" 프레임워크는, 개인 키를 탈취하거나 클립보드 주소를 교체하는 방식으로 비수탁형 핫 월렛을 표적으로 삼는 악성코드를 정의합니다 . 핵심 경고: 자금이 온체인으로 이동하면 카드 네트워크처럼 취소할 방법이 없습니다. 주소가 교체된 전송은 확인되는 순간 사실상 복구 불가능합니다.
"신용카드 및 기타 금융 거래와 달리, 현재로서는 암호화폐 거래의 사기 피해를 되돌릴 수 있는 메커니즘이 존재하지 않습니다"라고 Microsoft 보안팀은 핫 월렛 크라이웨어 방어 게시물에서 밝힙니다. (source: Microsoft, 2022-05).
하드웨어 월렛은 개인 키·시드 문구 탈취를 억제하지만 클리퍼의 허점은 막지 못합니다. 사용자가 교체된 목적지를 승인하면 기기가 서명합니다. 2021년 EthClipper 연구는 Trezor, Ledger, KeepKey를 대상으로 이를 정확히 입증했습니다. 긴 주소를 비교하기 어렵다는 점을 이용해 공격자는 시각적으로 유사한 문자열을 선택하고, 앞뒤 몇 글자만 확인하는 사용자의 습관을 악용합니다 .
FBI IC3 2025년 보고서에는 암호화폐 관련 신고 181,565건과 피해액 113억 6,600만 달러가 기록됐으며, 암호화폐 투자 사기만으로 72억 달러를 차지했습니다 . 주소 교체형 클리퍼는 부주의한 붙여넣기 한 번을 돌이킬 수 없는 최종 전송으로 만들어 이 피해 통계에 직접 기여합니다.
더 근본적인 문제는 신뢰 신호 자체에 있습니다. 운영자들은 GitHub 스타·포크 조작, VirusTotal에 "안전" 댓글·추천 심기, AI 생성 YouTube 진행자, 정식 뉴스 사이트 노출 등 사회적 신뢰를 대규모로 제조했습니다 . 평판 신호를 이 정도로 정교하게 조작할 수 있다면, "평점이 좋았고 정상으로 보였다"는 말은 더 이상 의미가 없습니다.
지금 당장 실천해야 할 것: 주소 검증이 최후의 방어선
평판 신호가 이제 대규모로 조작되는 시대에, 방어는 두 가지 통제 가능한 목표에 집중됩니다. 바이너리 실행을 막고, 바뀐 주소가 서명되지 않도록 막는 것입니다. 먼저 설치 규율부터 시작하세요. '스나이퍼 봇', 게임·충돌 예측기, 크랙된 지갑 툴, 텔레그램 연동 설치 프로그램, GitHub/SourceForge에서 의심스러울 만큼 참여도가 높은 바이너리는 절대 실행하지 마세요. 게이트키퍼를 우회하기 위해 xattr -cr로 격리를 해제하라고 요구하는 macOS 툴도 절대 실행하지 마십시오 .
서명 단계가 최후의 방어선입니다. 매 전송 시, 클립보드가 악성이라고 가정하십시오:
- 신뢰할 수 있는 화면에서 수신 주소 전체를 비교하세요. 첫 번째와 마지막 몇 글자만 봐선 안 됩니다. 이 허점이 바로 2021년 EthClipper 연구에서 Trezor, Ledger, KeepKey를 상대로 활용된 공격 방식입니다 .
- 저장된 주소나 화이트리스트 주소를 사용하고, 대량 이체 전에 소액 테스트 거래를 먼저 보내세요.
- 기기 화면에 표시된 주소와 체인이 의도한 수신자와 일치하지 않는 한, 하드웨어 지갑 거래를 절대 승인하지 마세요.
플랫폼 보호 기능을 최신 상태로 유지하세요. Microsoft Defender 바이러스 백신은 이미 클립보드 탈취 계열 악성코드인 Trojan:Win32/ClipBanker(2018년 2월 15일 최초 등재)를 탐지하며 , Defender와 SmartScreen은 가짜 앱 및 피싱 사이트 차단을 지원합니다 . 이동식 미디어 경로도 차단하세요. AutoRun/AutoPlay를 비활성화하고, 발견되거나 신뢰할 수 없는 드라이브를 지갑 기기에 절대 연결하지 마세요. 관리형 기기에서는 Defender for Endpoint 장치 제어(Windows 10/11, 맬웨어 방지 클라이언트 4.18.2103.3 이상)를 활용하세요 .
감염이 의심되면 순서대로 행동하세요. 전체 검사를 실행하고, Startup 폴더와 ~/Library/LaunchAgents에서 지속성 흔적을 확인하고, 토큰 승인을 취소하세요. 시드 문구나 개인 키가 의심 기기에 한 번이라도 닿았다면, 깨끗한 기기에서 새로 생성한 지갑으로 자산을 이전하세요 . 코드는 평판을 거짓으로 꾸밀 수 있지만, 화면에 표시된 주소는 여러분이 직접 확인해야 합니다. 매 전송마다, 모든 글자를 확인하세요.
자주 묻는 질문
크립토 클리퍼란 무엇이며 어떻게 자금을 탈취하나요?
크립토 클리퍼는 클립보드 하이재킹 악성코드로, 암호화폐 지갑 주소를 복사·붙여넣기하는 동안 몰래 바꿔치기합니다. 숨겨진 클립보드 리스너를 설치해 비트코인, 이더리움, 트론, XRP 등 여러 체인에서 주소 형태의 문자열을 감시하다가, 전송을 확인하기 전에 복사된 수신 주소를 내장된 목록의 공격자 제어 주소로 교체합니다. Check Point Research가 문서화한 2026년 Windows 샘플에는 15,500개가 넘는 공격자 주소가 포함되어 있었으며, 비트코인 관련 약 15,000개, 이더리움 관련 약 500개였습니다 . 주소가 정상적으로 붙여넣기된 것처럼 보이기 때문에, 대부분의 피해자는 자금이 빠져나갈 때까지 아무것도 눈치채지 못합니다.
하드웨어 지갑은 클립보드 하이재킹으로부터 나를 보호하나요?
부분적으로만 보호됩니다. 하드웨어 지갑은 개인 키와 시드 문구를 보호하지만, 바뀐 수신 주소를 승인하는 행동까지 막을 수는 없습니다. 클리퍼가 수신자를 교체한 상태에서 전체 문자열을 확인하지 않고 기기 화면에서 거래를 승인하면, 자금은 여전히 공격자에게 전송됩니다. 2021년 EthClipper 연구는 Trezor, Ledger, KeepKey를 상대로 이를 정확히 입증했으며, 긴 주소는 비교하기 어렵고 많은 사용자가 첫 번째와 마지막 몇 글자만 확인한다는 점을 공략했습니다 . 끝부분만이 아니라 신뢰할 수 있는 출처와 모든 글자를 대조하세요.
이 악성코드는 어떻게 바이러스 백신 탐지를 피했나요?
기술적 우회에만 의존하기보다, 주로 합법성을 조작하는 방식으로 탐지를 피했습니다. 운영자들은 피해자가 바이너리를 실행하기 전에 사회적 신뢰를 구축했습니다. WordPress 피싱 사이트, GitHub 및 SourceForge 호스팅, AI 생성 YouTube 발표자, 조작된 별점·포크·평점·다운로드 수, VirusTotal의 '안전' 댓글과 추천, 암호화폐 포럼 및 뉴스 사이트 게시물 등이 동원됐습니다 . 목표는 가짜 '스나이퍼 봇'과 게임 예측기가 신뢰할 만하다고 사용자를 확신시켜, 스스로의 경계심을 무너뜨리고 파일을 실행하게 만드는 것이었습니다.
Microsoft Defender만으로 크립토 클리퍼를 차단하기에 충분한가요?
필요하지만 충분하지는 않습니다. Microsoft Defender 바이러스 백신은 2018년 2월 최초 문서화된 Trojan:Win32/ClipBanker 클립보드 탈취 계열을 탐지하며, SmartScreen은 알려진 피싱 사이트와 가짜 앱 차단을 지원합니다 . 그러나 새롭게 평판을 세탁한 샘플은 시그니처를 통과할 수 있으며, Microsoft 자체 크라이웨어 가이드도 자금이 온체인으로 이동하면 일반적으로 되돌릴 수 없다고 강조합니다 . 의심스러운 바이너리를 실행하지 않는 것이 여전히 가장 중요한 통제 수단입니다.
이미 이런 가짜 툴을 실행했다면 어떻게 해야 하나요?
즉시 행동하고 클립보드가 이미 침해됐다고 가정하세요. 전체 바이러스 검사를 실행한 후 지속성 위치를 점검하세요. Windows에서는 %APPDATA%\silke와 Startup 폴더를, macOS에서는 ~/Library/LaunchAgents에서 예상치 못한 .plist 항목을 확인하세요 . 온체인 토큰 승인을 취소하고, 시드 문구나 개인 키를 의심 기기에서 한 번이라도 입력·붙여넣기·촬영·저장했다면, 다른 모든 작업보다 먼저 깨끗한 기기에서 새 지갑을 생성하고 자산을 이전하세요 .
