Snap Store 계정 탈취… 리눅스에서 암호화폐 지갑 위장 악성코드 유포

• 탈취된 개발자 계정, 암호화폐 지갑으로 위장한 악성코드 유포.
• 공격자는 만료된 도메인을 이용해 계정 제어권 획득.

리눅스 사용자들이 신뢰했던 소프트웨어 배포 플랫폼에서 악성코드가 유포되는 사건이 발생했다. 2026년 1월 21일 Help Net Security와 Risky Business에 따르면, Canonical의 Snap Store에서 해커가 개발자 계정을 탈취해 암호화폐 탈취용 악성코드를 유포했다고 밝혔다. 공격자들은 '도메인 부활 공격'이라는 수법으로 만료된 개발자 도메인을 구매한 뒤 계정을 악용했다.

해킹의 핵심은 탈취된 도메인에 연결된 이메일 주소였다. 공격자들은 이메일 주소의 제어권을 얻은 후, 이를 이용해 Snap Store 계정의 암호를 재설정했다. 이러한 공격 방식은 사용자가 신뢰하는 개발자로 가장해 악성코드를 배포할 수 있는 위험성을 내포하고 있다. 이 과정에서 Exodus, Ledger Live, Trust Wallet과 같은 잘 알려진 암호화폐 지갑 애플리케이션으로 위장한 악성코드가 유포되었다. 피해자는 이들 가짜 앱에 복구 시드 구문을 입력하면 이를 바로 공격자 서버로 전송하게 되며, 이에 따라 암호화폐 지갑 내 자산을 탈취당하는 피해를 입는다.

이번 사건은 최소 두 개의 개발자 계정이 악용된 것으로 확인됐다. 사용자 신뢰를 기반으로 운영되는 Snap Store에서, 믿어왔던 소프트웨어들이 악성코드로 변질될 수 있다는 사실이 드러난 이 사건은 심각한 보안 우려를 낳고 있다. 사건을 처음 경고한 인물 중 한 명인 전 Canonical 직원 앨런 포프는, 크로아티아에 기반을 둔 한 그룹이 배후일 가능성을 제기했다. 그는 이들이 지난 2년간 다양한 방법으로 Snap Store 사용자를 겨냥했다고 주장했다. 아울러, 보안 전문가 슬로우미스트(SlowMist)의 최고 정보 보안 책임자 23pds는 자신의 X(구 트위터) 계정을 통해 해당 공격에 대해 경고 메시지를 공유했다.

이처럼 '도메인 부활 공격'은 소프트웨어 배포 플랫폼에서 다른 경우에도 발생한 전례가 있다. 예컨대, 2025년 6월에는 파이썬 보안팀이 PyPI 플랫폼에서 1,800개 이상의 만료된 이메일 주소를 삭제하고 재인증을 요구함으로써 유사한 피해를 방지한 사례가 있다. 앨런 포프는 Canonical에 대해 계정 도메인 만료 여부를 모니터링하고, 휴면 계정에 대한 추가 인증을 요구하며, 2단계 인증을 의무화하는 등의 보안 조치를 시급히 도입할 필요가 있다고 조언했다.

한편, 2026년 1월 21일(UTC) 16시 08분 기준으로, 가짜 암호화폐 애플리케이션 중 언급된 Trust Wallet Token(TWT)은 코인마켓캡에서 24시간 거래량 변동률 -0.971%를 기록하며 0.877달러의 가격으로 거래되고 있는 상황이다. Trust Wallet Token 가격 변동은 이번 사건으로 인한 사용자 신뢰 하락 가능성을 시사하는 대목이다.