Breaking
사이버 보안(Cybersecurity)
북한 추정 해커 조직, 국내 가상화폐 거래소에 사이버 공격 감행
2019-06-26 18:29:55
이윤건
▲북한 소속으로 보이는 해커들이 가상화폐 거래소에 사이버 공격을 감행했다(출처=ⓒ픽사베이)

[라이헨바흐=이윤건 기자] 북한 소속으로 보이는 해커 조직이 한국 가상화폐 거래소와 경찰청을 사칭해 사이버 공격을 벌였다는 의혹이 제기됐다. 는 최근 비트코인의 시세가 가파르게 상승하는 것과 무관하지 않은 것으로 보인다.   

보안업체 이스트시큐리티 시큐리티대응센터(ESRC)는 가상화폐 거래소 업비트의 이벤트 수령 안내로 사칭한 APT(정밀표적) 공격을 포착했다고 발표했다. APT 공격이란 은밀히 회사의 정보를 살펴보고, 특정 시점에 해킹을 감행해 정보 등을 빼가는 것을 말한다.  

ESRC는 이 공격의 배후로 이른바 '김수키'(Kimsuky) 조직을 지목했다. 김수키는 배후에 북한이 있는 것으로 의심되는 해킹조직이다. 이들은 특히 대한민국의 안보·외교·통일 관련 분야의 정보를 노리고 있으며 최근 통일부를 사칭해 APT 공격을 이어오고 있었다고 ESRC 측은 설명했다.   

'업비트' 안내 메일로 위장된 사이버 공격  

이번 사이버 공격에 사용된 이메일은 발신지가 마치 한국의 유명 암호화폐 거래소가 보낸 것처럼 조작돼 있다. 또 이메일은 발신지가 업비트인 것처럼 조작됐지만, 실제로 보내진 곳은 해외 호스팅 서버로 파악됐다. 

이메일 제목은 '[안내]업비트 보디엑스(VDX) 상장 이벤트 경품 수령을 위한 제세공과금 납부 처리 정보 안내'였으며, '이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp'라는 이름으로 악성 문서 파일이 첨부됐다.    

아울러 ESRC는 마찬가지로 김수키 조직의 소행으로 보이는 스피어 피싱 공격도 적발했다.  공격에 사용된 이메일은 마치 실제 사이버안전국 메일처럼 정교하게 조작됐다. 그러나 ESRC는 통신 폼 데이터가 평소 김수키 조직이 사용한 것과 일치하다고 밝혔다. 현재 알약은 해당 악성코드에 대한 긴급 업데이트를 완료한 상태다.  

보안 취약한 암호화폐 거래소, 해킹 타겟으로 떠올라  

▲국내 암호화폐 거래소는 정부 및 금융기관에 비해 사이버 보안이 취약한 것으로 알려졌다(출처=ⓒ픽사베이)

ESRC 측은 "비트코인이 1000만원 선을 돌파하는 등 상승세가 이어지면서 사이버 해킹 조직들의 활동이 증가하고 있어 각별한 주의가 필요하다"고 당부했다. 

이처럼 해커들이 암호화폐 거래소를 노리는 경우가 늘어난 까닭은 최근 암호화폐가 다시 상승세를 타고 있는데다 세탁이 용이하기 때문으로 풀이된다. 암호화폐 거래소가 제도권 금융권보다 상대적으로 보안망이 취약한 점도 문제로 지적됐다. 

암호화폐 거래소 보안, 무엇이 문제? 

거래소들은 망분리, 핫월렛 등의 보안 시스템을 강조하며 자산이 해킹으로부터 안전하다고 선전하고 있다. 하지만 보안 전문가들은 이를 섣부른 과신이라 우려하고 있다.  

특히 일련의 암호화폐 해킹 사건에서 비춰볼 때 자본력이 탄탄하지 않은 중소형 거래소들이 더 위험한 것으로 조사됐다. 실제로 대규모 해킹 피해가 발생했던 유빗에서 사명을 바꿔 운영을 재개했던 코인빈은 올해 2월 결국 파산을 선언했다. 글로벌 암호화폐 거래소 바이낸스도 이달 초 해커들의 공격을 받았다. 소식통에 따르면 바이낸스는 시세로 460억원 규모의 비트코인을 탈취당했다. 국내에서도 지난 3월 빗썸이 내부자 소행으로 추정되는 암호화폐 탈취 사건을 겪은 바 있다. 

북한 경제제재 회피 위해 해킹 이용하나 

한편 미 정부 고위 당국자들은 북한이 미국의 제재를 회피하기 위해 가상화폐 해킹과 은행 해킹을 시도하고 있다고 지적했다. 토니아 우고레츠 미 FBI 사이버 담당 부국장보는 북한의 사이버 공격 동기가 대북제재라고 발언했다. 

우고레츠 부국장보는 29일 미 아스펜연구소 주최 사이버 공격 토론회에서 최근 잇따른 북한의 해킹에 대해 내린 분석은 미국의 대북제재가 북한의 경제에 적잖은 영향을 미쳤다는 점이라고 지적했다.

[라이헨바흐=이윤건 기자]