500밀리초 또한 이 악성코드가 클립보드를 감시하는 주기다. 당신이 지갑 주소를 복사하는 순간, 공격자의 주소로 바꿔치기한다. 마이크로소프트는 2026년 6월 17일 이 사실을 공식 발표했다. 해당 악성코드는 이미 2월부터 탐지되지 않은 채 활동하고 있었다. 우리가 암호화폐 거래에서 가장 흔하게 하는 행동, 즉 주소를 복사해 붙여넣는 바로 그 순간을 노린다.
기술 명칭은 “크립토 클리퍼(crypto clipper)”이며, 마이크로소프트 백신은 이를 Trojan:Win32/CryptoBandits.A로 분류한다. 감염된 USB를 통해 Windows 시스템에 퍼지며, 바이낸스(Binance)도 자사 사용자에게 별도로 경고를 발송했다. 단순한 데이터 도용 수준이 아니다. 자체 전파 기능, 원격 제어 백도어까지 갖춘 복합 공격 도구다.
공격은 어떻게 이루어지나
공격 흐름은 정교하고 조용하다. 사용자의 의식적인 클릭이 거의 필요하지 않다.
- 1단계: USB 감염. 실제 파일은 숨겨지고, 문서처럼 위장한 바로가기 파일로 교체된다.
- 2단계: 실행. 가짜 바로가기를 열면 스크립트가 실행되어 웜을 설치하고, 재부팅 후에도 활성 상태를 유지하는 예약 작업을 등록한다.
- 3단계: 감시. 악성코드는 500밀리초마다 Windows 클립보드를 확인하고, 주기적으로 스크린샷을 캡처한다.
- 4단계: 탈취 및 교체. 시드 문구(seed phrase)와 개인 키를 탐색하며, 지갑 주소가 복사되면 즉시 공격자 주소로 바꿔치기한다.
- 5단계: 데이터 유출. 수집된 데이터는 Tor 네트워크를 통해 외부로 전송되어 공격 인프라를 숨긴다.
Since February 2026, Microsoft Defender Experts have tracked a cryptocurrency clipper campaign that combines clipboard theft, wallet address replacement, worm-like functionality, and Tor-based communications, enabling both financial gain and continued access to devices.…
, Microsoft Threat Intelligence (@MsftSecIntel) June 17, 2026
일반 클리퍼보다 위험한 이유
세 가지 요소가 이 악성코드의 위험 수위를 높인다. 첫째는 Tor 네트워크 활용이다. 로컬 프록시와 숨겨진 주소를 통해 통신을 우회하기 때문에 공격자의 인프라를 거의 추적할 수 없다. 둘째는 백도어다. 단순 탈취에 그치지 않고 이후 랜섬웨어 등 추가 공격 코드를 원격으로 실행할 수 있는 경로를 열어둔다. 셋째가 가장 교묘하다.
복사한 주소를 교체할 때, 이 악성코드는 원본과 앞뒤 몇 글자가 유사한 주소를 생성한다. 주의 깊게 보지 않으면 차이를 알아채기 어렵다. 비트코인(Bitcoin)의 다양한 주소 형식은 물론, 이더리움(Ethereum), 트론(Tron), 모네로(Monero)까지 광범위하게 표적으로 삼는다. 업비트(Upbit)와 빗썸(Bithumb) 사용자 모두 출금 주소 확인 시 각별한 주의가 필요한 이유다.
어떻게 방어할 수 있나
사실, 다행히 대응 방법은 비교적 간단하다. 누구든 실천할 수 있는 수준이다.
- 자동 실행 비활성화. USB 등 이동식 장치에서 AutoRun과 AutoPlay를 꺼두면 악성코드가 자동으로 실행되지 않는다.
- 출처 불명의 USB 사용 금지. 누구에게 받았든 모르는 USB는 잠재적으로 감염된 장치로 간주하라.
- 주소 전체 확인. 전송 전에 앞뒤 일부만이 아니라 주소 전체를 반드시 확인한다.
- 하드웨어 지갑 사용. 하드웨어 지갑의 화면에서 직접 주소를 확인하면 악성코드가 클립보드를 바꿔치기해도 막을 수 있다.
약점은 결국 하나다 또한 클립보드. 복사와 붙여넣기 사이의 0.5초, 바로 그 순간에 도둑질이 일어난다. 이를 무력화하는 습관은 단순하지만 강력하다. 주소 전체를 확인하고, 물리적 장치 화면에서 재확인하는 것이다. 금융감독원(FSS)과 한국인터넷진흥원(KISA)은 이 같은 악성코드 피해에 대한 공식 신고 창구를 운영하고 있으며. 공식 업데이트는 마이크로소프트 보안 공지를 통해 확인할 수 있다.
