유빗·코인이즈·빗썸·야피존 등 4월부터 지금까지 가상화폐 거래소 해킹만 4건
KISA와 공정위 사칭한 공격 가상화폐 거래소에 집중...국정원 배후로 북한 지목
해킹 발생하면 피해는 고스란히 사용자 몫...자구책 마련 필요해

[보안뉴스 원병철 기자] 가상화폐 거래소 유빗이 두 번째 해킹으로 파산을 선언한 가운데, 가상화폐 거래소를 노린 사이버 공격이 오랫동안 지속된 만큼 다른 거래소도 위험할 수 있다는 우려가 나오고 있다.


한국인터넷진흥원(KISA)은 지난 12월 14일 한국인터넷진흥원을 사칭한 스피어 피싱 메일이 가상화폐 거래소를 대상으로 유포됐다고 긴급 공지를 올린바 있다. ‘[한국인터넷진흥원] 가상화폐 거래소 보안점검’이라는 제목으로 발행된 스피어 피싱은 PDF 공문과 악성코드가 포함된 한글 문서를 첨부했다.

당시 KISA는 즉시 가상화폐 거래소에 위협정보를 공유했고, 국내 컴퓨터 백신회사에 해당 악성코드 샘플을 공유했다. 또한, 국내 ISP에 관련 악성코드 명령제어 서버(C&C) 접속경로 차단조치를 요청하고, 추가 공격에 대한 모니터링을 강화하겠다고 밝혔다.

또한, 지난 8월에는 공정거래위원회를 사칭한 악성코드 이메일 공격이 발생한 바 있다. ‘부당한 전자상거래 신고로 조사 예정’이라며 보낸 이메일에는 악성코드가 담긴 한글파일이 첨부되어 있었다. 당시 보안전문가들은 공정위 사칭 이메일이 공격기법이나 코드를 봤을 때, 북한의 소행일 가능성이 높다고 판단했다. 북한의 외화벌이용 한글 악성코드 공격사례라는 것이다.

북한의 국내 가상화폐 거래소 공격은 이미 지난 15일 국정원에서 경고한 바 있다. 국정원은 지난 4월부터 11월까지 가상화폐 거래소를 타깃으로 이력서 등을 위장한 악성코드를 보내 정보를 빼낸 공격이 있었다고 발표했다. 국정원은 해당 공격이 미국 소니픽쳐스와 방글라데시 중앙은행 등을 해킹한 북한 해커의 공격방식과 악성코드가 동일하다며, 배후로 북한을 지목했다.

보안기업 이스트시큐리티 역시 19일 라자루스의 ‘금융 소프트웨어 위장 작전 코인 매니저’를 공개하고, 라자루스가 2009년부터 동일한 공격코드 기반의 악성 프로그램으로 한국의 유명기관과 기업을 대상으로 끊임없이 공격을 시도하고 있다고 밝혔다. 특히, 이스트시큐리티는 금융관련 분야 종사자와 기업은 적극적인 관심과 보안에 대한 노력이 필요하다고 강조했다.

문제는 이처럼 정부기관과 보안기업들이 가상화폐 거래소를 중심으로 몇 개월 동안 공격이 지속되고 있다고 경고하고 있지만, 이번 유빗 사태처럼 해킹사고는 끊이지 않고 있다는 사실이다.

4월 야피존(현 유빗)의 해킹이후 6월 빗썸의 보이스피싱, 9월 코인이즈 해킹, 12월 유빗의 2차 해킹 피해까지 최근 9개월 동안 발생한 가상화폐 거래소 해킹사건만 벌써 4번째다. 유빗을 포함한 기업들은 매번 해킹사고가 나면 보안을 강화했다고 하지만 사건은 계속 벌어지고 있다.

정부에서는 가상화폐에 대한 긴급대책을 수립해 빗썸과 코인원, 코빗 등 100억 원 이상 거래소는 ISMS를 의무화하고, 정부에서 주기적으로 보안을 점검하기로 했지만 100% 완벽하다고 할 수 없다. 일각에서는 보다 강력한 대책마련을 요청하고 있으며, 정부 역시 계속 관심을 갖고 지켜보겠다고 밝혔다.

하지만 가상화폐는 통화가 아닌 이상 손실액에 대한 정부의 보장은 없다고 확실하게 선을 긋고 있다. 이에 가상화폐 사용자 역시 보안이 철저한 거래소를 이용하는 등 스스로를 보호할 수 있는 자구책 마련이 힘써야 할 것으로 보인다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>