북한의 암호화폐 탈취를 위한 피싱 행각이 대대적으로 이뤄지고 있습니다. 국내 대형 거래소부터 중소형 거래소까지 여러 거래소들을 사칭하며 악성코드 유포에 나서는 중입니다.
29일 이스트시큐리티 시큐리티대응센터(ESRC)는 따르면 북한 해커 집단으로 알려진 ‘김수키’는 지난달 28일 발생한 국내 대표 암호화폐 거래소 ‘업비트’를 사칭한 것처럼 이번에는 중소형 거래소 데이빗(DAYBIT)을 사칭하는 이메일을 대거 유포한 정황이 포착됐습니다.
메일은 전과 똑같은 방식으로 거래소 이벤트 경품수령 안내를 담고 있습니다. 이메일은 ‘DAYBIT 암호화폐 거래소의 ELYSIA 토큰세일 이벤트 당첨자 안내’란 제목이며 악성코드가 담긴 ‘이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp’ 파일을 첨부해 클릭을 유도하고 있습니다. 한글 확장자 파일을 첨부해 수신자들의 의심을 피하고 있어 각별한 주의가 필요합니다.
악성 문서파일은 이달 27일에 제작된 것으로 확인됩니다. 악성 포스트스크립트의 일종인 ‘BIN0001.eps’가 숨겨져 있습니다. 안내 메일에는 개인정보 수집 및 이용 동의 안내서는 반드시 인쇄한 후 자필로 작성해달라며 문서 비밀번호가 함께 기재됐습니다. 문서 비밀번호를 입력하면 문서가 열리면서 본격적으로 악성 포스트스크립트가 작동하게 됩니다.
김수키는 앞서 지난달 28일 업비트를 사칭한 이벤트 경품 안내 메일을 뿌리며 사이버 공격에 나섯습니다. 해당 메일의 발신지는 해외 호스팅 서버로 분석됩니다. 당시 공격과 이번 공격까지 첨부파일명이 똑같고 명령제어(C2) 주소도 비슷한 패턴을 보이고 있습니다.
이달 10일에는 PC용 텔레그램 메신저를 노린 악성 문서 파일 유포가 발견됐습니다. 20일에는 암호화폐 투자계약을 사칭한 피싱 공격도 나타났습니다. 이스트시큐리티는 해당 공격이 악성코드와 공격 기법 등에서 유사성이 보인다며 북한의 또 다른 해커 집단인 ‘라자루스’의 소행으로 추정하고 있습니다.
문종현 이스트시큐리티 이사는 “감염된 PC를 통해 해커는 암호화폐 거래 내용도 수집할 수 있다”며 “이번 공격은 금전갈취를 목표로 한 사전 정보 취특을 목적으로 하고 있으며 1차 사이버 공격의 일환으로 볼 수 있다”고 설명했습니다.
그러면서 “이달 초부터 암호화폐 관련 사이버 공격이 증가하고 있어 암호화폐 시세 급등 추세와 무관치 않다”며 “일반 암호화폐 투자자들의 공격은 물론 거래소 공격도 진행되고 있을 것으로 보이며 보안성이 높은 대형 거래소보다 중소형 거래소를 타깃으로 삼을 가능성이 높다”고 내다봤습니다.
아울러 “김수키 조직은 이메일에 한글파일을 첨부하는 방식으로 공격을 진행하고 있다”며 “사용자들은 정품이 아니더라도 한글파일의 업데이트를 지속적으로 해야 하고 보안 솔루션도 꾸준히 업데이트가 필요하다”고 당부했습니다.
