북한의 암호화폐 탈취를 위한 피싱 행각이 대대적으로 이뤄지고 있습니다. 국내 대형 거래소부터 중소형 거래소까지 여러 거래소들을 사칭하며 악성코드 유포에 나서는 중입니다.
29일 이스트시큐리티 시큐리티대응센터(ESRC)는 따르면 북한 해커 집단으로 알려진 ‘김수키’는 지난달 28일 발생한 국내 대표 암호화폐 거래소 ‘업비트’를 사칭한 것처럼 이번에는 중소형 거래소 데이빗(DAYBIT)을 사칭하는 이메일을 대거 유포한 정황이 포착됐습니다.
메일은 전과 똑같은 방식으로 거래소 이벤트 경품수령 안내를 담고 있습니다. 이메일은 ‘DAYBIT 암호화폐 거래소의 ELYSIA 토큰세일 이벤트 당첨자 안내’란 제목이며 악성코드가 담긴 ‘이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp’ 파일을 첨부해 클릭을 유도하고 있습니다. 한글 확장자 파일을 첨부해 수신자들의 의심을 피하고 있어 각별한 주의가 필요합니다.
악성 문서파일은 이달 27일에 제작된 것으로 확인됩니다. 안내 메일에는 개인정보 수집 및 이용 동의 안내서는 반드시 인쇄한 후 자필로 작성해달라며 문서 비밀번호가 함께 기재됐습니다. 문서 비밀번호를 입력하면 문서가 열리면서 본격적으로 악성 포스트스크립트가 작동하게 됩니다.
김수키는 앞서 지난달 28일 업비트를 사칭한 이벤트 경품 안내 메일을 뿌리며 사이버 공격에 나섯습니다. 해당 메일의 발신지는 해외 호스팅 서버로 분석됩니다. 당시 공격과 이번 공격까지 첨부파일명이 똑같고 명령제어(C2) 주소도 비슷한 패턴을 보이고 있습니다.
이달 10일에는 PC용 텔레그램 메신저를 노린 악성 문서 파일 유포가 발견됐습니다. 20일에는 암호화폐 투자계약을 사칭한 피싱 공격도 나타났습니다.
이스트시큐리티는 해당 공격이 악성코드와 공격 기법 등에서 유사성이 보인다며 북한의 또 다른 해커 집단인 ‘라자루스’의 소행으로 추정하고 있습니다.
[진행 = 권오성 아나운서]
