암호화폐 시세가 치솟으면서 북한 해커 추정 그룹이 활발한 활동을 전개하고 있습니다. 메일 수신자의 의심을 피하고자 정밀하게 조작된 피싱 메일로 악성코드 배포에 나서고 있어 각별한 주의가 필요합니다.
29일 이스트시큐리티 시큐리티대응센터(ESRC)는 자사 보고서를 공개하며 북한 추정 사이버 공격집단 ‘김수키’(Kimsuky)로 명명된 조직이 국내 암호화폐 거래소를 사칭하는 APT공격에 정황을 발견했다고 29일 밝혔습니다.
김수키는 그동안 북한 정부의 지령을 받고 활동하는 사이버 공격 해킹조직으로 알려져 있습니다. 암호화폐 탈취는 물론 국가 주요 정보를 빼가는 것을 목적으로 다양한 방법을 동원하고 있습니다.
ESRC에 따르면 김수키는 국내 최대 암호화폐 거래소인 업비트를 사칭해 이벤트 경품에 당첨됐으니 수령을 하라는 안내 메일을 발송했습니다. 메일에 첨부된 파일을 내려 받게 되면 악성코드에 감염돼 일명 ‘좀비 PC’로 만들어버리는 방식입니다.
해당 메일은 언뜻 보기에 거래소가 안내 메일을 발송한 것으로 착각할 만큼 어휘 선택과 문맥까지 매끄럽게 이어지고 있습니다. 정교한 조작 내용으로 사용자들의 의심을 최대한 피하려는 의도가 엿보입니다.
이메일에는 ‘이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp’란 제목의 한글 파일이 첨부됐습니다. 보통 파일 확장자명이 알 수 없는 확장자를 써 피싱 메일임을 눈치챌 수 있지만 ‘hwp’를 그대로 사용하면서 의심을 피하고 있는 것입니다. 해당 파일을 내려 받게 되면 특정 명령제어 서버로 접속해 추가 악성파일을 다운로드하게 합니다.
ESRC 관계자는 “암호화폐 구매를 시도하거나 중요 데이터를 가지고 있는 PC라면 이를 인질 삼아 금전을 요구하는 랜섬웨어 등 다양한 피해가 발생할 수 있다”고 설명했습니다.
이는 단순히 상대 컴퓨터에 악성코드를 설치해 암호화폐 채굴에 동원되도록 만드는 크립토재킹에 국한하지 않는다는 점을 보여주고 있습니다.
또한 김수키는 경찰청 사이버 안전국을 사칭한 스피어 피싱 메일도 보내고 있습니다. 김수키는 그간 주요 정부기관을 사칭한 이메일을 발송하면서 지능형지속위협(APT)공격 시도를 꾸준히 시도해왔습니다.
ESRC는 경찰청 사이버 안전국을 사칭한 스피어 피싱 공격 역시 암호화폐 거래소 이벤트 사칭과 비슷한 부류로 보고 있습니다. 경찰청 사칭 이메일 내용은 사이버 안전국 민원 안내 메일처럼 내용을 조작했습니다. 암호화폐 거래소 해킹 피해에 대한 문의와 답변 형식으로 경찰청이 컴퓨터 검사 프로그램을 보내는 것처럼 가장한 것입니다.
첨부된 파일명은 ‘사이버안전국.egg’의 압축 파일로 압축에는 ‘사이버안전국.exe’ 악성파일이 들어있습니다. 해당 파일을 실행하게 되면 정보 수집과 저장 후 공격자가 지정한 특정 메일 계정으로 정보를 전송합니다.
문종현 이스트시큐리티 이사는 “비트코인이 1000만원을 돌파하자 암호화폐를 노린 공격이 기승을 부리고 있다”며 “향후에도 비슷한 공격이 지속될 것으로 보여 이메일을 열람할 때 본문링크와 첨부파일 확인 등에 각별한 주의가 필요하다”고 조언했다.
한편 지난달 14일 영국의 싱크탱크 왕립합동군사연구소(RUSI)는 보고서를 통해 북한 해커들이 그동안 암호화폐 탈취에 나서 최소 5억4500만 달러에서 최대 7억3500만 달러(약 6502억~8769억 원)의 이득을 취한 것으로 추정했습니다. 최근 암호화폐 시세가 급등한 것을 감안하면 액수는 2배 이상 커진 것으로 보입니다.
북한의 암호화폐 탈취가 기승을 부리면서 이를 방지할 수 있는 국제 사회의 공동 대응도 포착됩니다. 미국 트럼프 행정부는 국제 사회 제재로 자금줄이 막힌 북한이 암호화폐 범죄로 정권 자금을 마련하는 것을 묵과하지 않을 것이란 관측입니다.
국제자금세탁방지기구(FATF)는 올해부터 각 국가의 상호평가에 나설 예정으로 오는 7월 우리나라를 방문합니다. FATF는 암호화폐 범죄를 막기 위해 보안성 강화를 즉각적인 대처가 가능한 핫라인 구축 등을 주문하고 있습니다.
