[디지털투데이 AI리포터] 러시아 정부의 지원을 받는 해커 조직 '콜드리버'(COLDRIVER)가 새로운 악성코드 '로스트키스'(LOSTKEYS)를 이용해 서방 국가들을 대상으로 사이버 공격을 벌이고 있다고 7일(현지시간) 블록체인 매체 코인텔레그래프가 보도했다.

콜드리버라는 조직이 서방 국가를 대상으로 문서를 탈취하기 위해 로스트키스를 사용하고 있다는 구글 위협 인텔리전스(GTIG)의 보고서가 나왔다.

구글에 따르면, 악성코드는 네 단계에 걸쳐 설치되는 것으로 알려졌다. 먼저 가짜 보안문자(CAPTCHA)를 포함한 '유도 웹사이트'가 등장하고, 사용자의 클립보드에 파워셸(PowerShell) 스크립트가 다운로드된다. 이후 기기 우회 단계를 거쳐 최종 페이로드가 실행되며, 악성코드가 설치된다. 로스트키스는 특정 디렉터리에서 파일을 훔치고, 시스템 정보 및 실행 중인 프로세스를 콜드리버에 전송하는 기능을 갖췄다.

구글은 이미 해당 악성코드를 차단하기 위해 '세이프 브라우징'(Safe Browsing) 기능을 업데이트했으며, 악성 웹사이트를 목록에 추가했다고 밝혔다. 콜드리버는 러시아가 지원하는 위협 그룹으로, 과거 서방 외교관과 언론인을 대상으로 피싱 공격을 감행한 바 있다. 지난 1월에는 '스피카'(Spica)라는 악성코드를 활용해 원격 명령 실행과 소프트웨어 다운로드·업로드를 시도하기도 했다.

한편, 암호화폐 해킹도 급증하는 추세다. 블록체인 보안업체 해켄(Hacken)에 따르면, 2025년 1분기 암호화폐 해킹 손실은 20억달러에 달해 지난해 전체 손실을 초과했다. 지난 2월에는 북한 해커 그룹 라자루스가 가상자산 거래소 바이비트(Bybit)를 공격해 15억달러 규모의 피해를 입히며, 암호화폐 보안 위협이 더욱 심화되고 있다.

러시아 지원 해커 그룹의 첨단 악성코드 활용이 현실화되면서, 사이버 보안 업계의 대응이 더욱 중요해졌다. 기업과 정부 기관은 기존 보안 체계를 강화하고, 지속적인 모니터링을 통해 위협을 차단해야 한다.