ESRC “비트코인 1000만원 넘자 외화벌이 목적으로 공격 추정”

경찰청 사이버안전국은 2017년 9월 27일 국내 비트코인 거래소들을 대상으로 해킹이 시도된 사건을 수사한 결과 북한 소행임을 확인했다고 밝혔다. 경찰에 따르면 전자우편 접속지가 북한으로 확인된 해커들은 경찰, 검찰 등 정부기관을 사칭해 비트코인 거래소 대표 혹은 직원 25명에게 정교하게 제작한 스피어 피싱 악성메일을 전송한 뒤 이들의 PC를 통해 회사 내부망을 해킹, 비트코인 탈취가 목적인 것으로 나타났다. 경찰은 스마트폰과 PC등이 악성 앱에 감염되지 않도록 모르는 사람으로부터 수신한 메시지의 링크를 클릭하거나 출처를 알 수 없는 앱 설치를 지양할 것을 당부했다. <사진=뉴시스>

[위클리오늘=김성한 기자] 북한의 해킹기술이 갈수록 정교해지는 가운데 북한 추정 해커가 한국 암호화폐거래소를 사칭한 사이버 공격까지 감행한 것으로 드러났다.

28일 이스트시큐리티 시큐리티대응센터(ESRC) 블로그에 따르면 국내 암호화폐거래소 업비트의 이벤트 경품 수령 안내로 사칭한 지능형지속위협(APT) 공격이 포착됐다.

해당 이메일에는 '이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp' 이름의 악성 문서 파일이 첨부됐다. 이 첨부파일을 열면 특정 명령제어 서버로 접속해 추가 악성 파일이 다운로드된다.

이러한 스피어 피싱 이메일의 발신지가 해당 국내 암호화폐거래소처럼 돼 있지만, 실제로 이메일을 발신한 곳은 해외 호스팅 서버였다.

스피어 피싱은 특정 조직을 대상으로 시도되는 이메일이나 전자통신 사기를 말한다. 주로 허가받지 않은 사용자가 기밀 데이터에 접근해 정보를 탈취하는 것이 목적이다.

또한, 일반적인 해커들에 의해 무작위적으로 이뤄지기보다 금전적 목적과 무역 기밀 및 군사정보를 노리는 목적으로 수행한다.

ESRC는 “최근 비트코인이 1000만원 선을 돌파하자 특정 정부의 지원과 지시를 받는 위협조직들의 활동이 증가하고 있다”며 “이들은 외화벌이 목적으로 추정되는 공격에도 가담하고 있어 각별한 주의가 필요하다”고 설명했다.

이러한 공격 배후에 ESRC는 '김수키(Kimsuky)' 조직이 있는 것으로 분석하고 있다.

김수키는 북한 배후설이 제기되는 해킹조직이다. 2014년 한국수력원자력을 해킹한 것으로 추정하며, 지속해서 안보·외교·통일 관련 분야의 정보를 노리는 것으로 전해진다.

보안업계 한 관계자는 “스피어 피싱을 예방하기 위해서는 송신자를 정확히 확인하고, 회신 URL을 잘 살펴봐야 하며, 패스워드 등 개인 정보를 제공하지 않도록 주의해야 한다”고 밝혔다.

한편, 러시아 사이버 보안업체 ‘카스퍼스키 랩’은 북한의 대표적인 해킹조직으로 알져진 ‘라자루스’가 지난해 11월부터 주로 한국의 암호화폐 거래소를 노리는 사이버 공격을 감행하고 있다고 밝힌 바 있다.

라자루스는 2017년 5월 전 세계 150여 개국 30여만 대의 컴퓨터를 강타한 ‘워너크라이’ 랜섬웨어 공격, 2014년 미국 소니 영화사 해킹 사건 등 각종 사이버 공격의 배후로도 의심받고 있다.

특히, 이 보안업체는 라자루스도 악성코드가 담긴 가짜 한글 문서를 이용해 한국에 있는 암호화폐거래소를 주요 공격 대상으로 삼고 있다고 보고 있다.

저작권자 © 위클리오늘 무단전재 및 재배포 금지