ESRC “비트코인 1000만원 넘자 외화벌이 목적으로 공격 추정”
[위클리오늘=김성한 기자] 북한의 해킹기술이 갈수록 정교해지는 가운데 북한 추정 해커가 한국 암호화폐거래소를 사칭한 사이버 공격까지 감행한 것으로 드러났다.
28일 이스트시큐리티 시큐리티대응센터(ESRC) 블로그에 따르면 국내 암호화폐거래소 업비트의 이벤트 경품 수령 안내로 사칭한 지능형지속위협(APT) 공격이 포착됐다.
해당 이메일에는 '이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp' 이름의 악성 문서 파일이 첨부됐다. 이 첨부파일을 열면 특정 명령제어 서버로 접속해 추가 악성 파일이 다운로드된다.
이러한 스피어 피싱 이메일의 발신지가 해당 국내 암호화폐거래소처럼 돼 있지만, 실제로 이메일을 발신한 곳은 해외 호스팅 서버였다.
스피어 피싱은 특정 조직을 대상으로 시도되는 이메일이나 전자통신 사기를 말한다. 주로 허가받지 않은 사용자가 기밀 데이터에 접근해 정보를 탈취하는 것이 목적이다.
또한, 일반적인 해커들에 의해 무작위적으로 이뤄지기보다 금전적 목적과 무역 기밀 및 군사정보를 노리는 목적으로 수행한다.
ESRC는 “최근 비트코인이 1000만원 선을 돌파하자 특정 정부의 지원과 지시를 받는 위협조직들의 활동이 증가하고 있다”며 “이들은 외화벌이 목적으로 추정되는 공격에도 가담하고 있어 각별한 주의가 필요하다”고 설명했다.
이러한 공격 배후에 ESRC는 '김수키(Kimsuky)' 조직이 있는 것으로 분석하고 있다.
김수키는 북한 배후설이 제기되는 해킹조직이다. 2014년 한국수력원자력을 해킹한 것으로 추정하며, 지속해서 안보·외교·통일 관련 분야의 정보를 노리는 것으로 전해진다.
보안업계 한 관계자는 “스피어 피싱을 예방하기 위해서는 송신자를 정확히 확인하고, 회신 URL을 잘 살펴봐야 하며, 패스워드 등 개인 정보를 제공하지 않도록 주의해야 한다”고 밝혔다.
한편, 러시아 사이버 보안업체 ‘카스퍼스키 랩’은 북한의 대표적인 해킹조직으로 알져진 ‘라자루스’가 지난해 11월부터 주로 한국의 암호화폐 거래소를 노리는 사이버 공격을 감행하고 있다고 밝힌 바 있다.
라자루스는 2017년 5월 전 세계 150여 개국 30여만 대의 컴퓨터를 강타한 ‘워너크라이’ 랜섬웨어 공격, 2014년 미국 소니 영화사 해킹 사건 등 각종 사이버 공격의 배후로도 의심받고 있다.
특히, 이 보안업체는 라자루스도 악성코드가 담긴 가짜 한글 문서를 이용해 한국에 있는 암호화폐거래소를 주요 공격 대상으로 삼고 있다고 보고 있다.