비트코인 거래소 노리고 금융기관 및 정부기관 사칭해 악성메일 유포
스마트폰도 해킹, 인증문자 가로채 포털 메일계정 생성

[보안뉴스 김경애 기자] 국내 비트코인 거래소를 노린 해킹 공격이 북한 소행으로 드러났다. 다행히 PC가 악성코드에 감염되지 않아 비트코인 유출 피해는 없는 것으로 확인됐지만, 외화벌이 목적으로 가상화폐 거래소를 노린 만큼 유사한 공격에 피해를 입지 않도록 철저하게 대비해야 할 것으로 보인다.


북한 해커는 지난 7월 5일부터 8월 8일까지 국내 비트코인 거래소 4개 업체를 노렸다. 비트코인 거래소 직원 25명에게 경찰, 검찰, 금융보안원, 서울시청, 농협 등과 같은 금융기관 및 국가기관을 사칭하고, 정교하게 제작된 악성프로그램이 첨부된 메일을 10회 발송해 해킹을 시도했다.

이와 관련 경찰청 사이버안전국 관계자는 “북한 해커가 PC감염을 노리고 악성코드를 유포했으며, 실제 감염된 사례는 PC 1대가 있었으나 백신에 탐지돼 삭제조치됐다”고 말했다.

이러한 북한의 사이버공격은 비트코인 거래소 직원의 PC를 악성프로그램에 감염시킨후, 회사 내부망을 해킹해 비트코인을 탈취하기 위한 목적으로 풀이된다.

특히, 이번 사건에서 주목되는 부분은 악성메일 발송에 메일계정이 도용됐으며, 계정이 생성됐다는 것이다. 이용한 계정 9개 중 4개는 도용된 계정이며, 5개는 직접 생성한 계정으로 확인됐다. 직접 생성한 계정 5개중 2개는 해커가 스마트폰을 해킹해 인증문자를 가로챈 후, 포털사 메일계정을 생성했다. 해당 스마트폰 분석결과 악성 앱에 감염된 상태였다.

이번 사이버공격이 북한 소행으로 판단된 근거에 대해 사이버안전국은 악성메일 발송이 테스트 목적으로 사용됐으며, 전자우편 접속지가 북한으로 확인됐다고 밝혔다.

경유서버 및 명령제어 서버에서도 과거 북한발 한수원 해킹사건(2014년)이나 청와대 사칭 전자우편 발송사건(2016년)에서 확인된 것과 동일한 대역의 IP 주소가 발견됐다.

이는 지난 11일 보안업체 파이어아이가 북한이 우리나라의 가상화폐 거래소를 대상으로 해킹시도를 한다고 발표한 분석보고서를 통해서도 알 수 있다.

이에 경찰청 사이버안전국 관계자는 “비트코인 거래소 업체들을 대상으로 이번 공격사례를 알려 피해발생을 예방하는 한편, 스마트폰이 악성 앱에 감염되지 않도록 모르는 사람으로부터 수신한 메시지 링크 클릭 혹은 출처를 알 수 없는 앱 설치를 지양하는 등 안전한 스마트폰 사용이 중요하다”고 당부했다. 또한, 유관기관과의 정보공유와 협조체제를 통해 사이버 안보를 굳건히 하겠다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>