전 세계 해커들이 가상화폐 거래소에 몰려드는 이유

가상화폐 거래소 사칭, 카톡·텔레그램·문자메시지·메일 통해 피싱 공격
국내 기업 노리는 중국·북한 해커조직 비롯해 전 세계 해커들 계속 몰려 들어
가상화폐 거래소의 경우 법적 규제, 보안 인프라, 인식 수준 아직 미흡

[보안뉴스 김경애 기자] 가상화폐 거래소를 사칭한 피싱 공격이 연일 이슈가 되고 있다. 전 세계 해커들은 가상화폐 거래소와 투자자를 노리고 각종 피싱 메일과 텔레그램, 카카오톡 등 SNS를 총동원한 가상화폐 낚시질에 여념이 없는 상황이다. 그 가운데 국내 가상화폐 거래소를 노린 해커들의 정체에도 관심이 모아지고 있다. 이들은 카카오톡, 문자메시지, 메일 등을 이용해 피싱 공격을 시도하고, 한글 문서를 이용하며, 국내 호스팅 업체에다 도메인 등록을 하는 등 국내 사정을 꿰뚫고 있다.

전 세계 해커, 가상화폐 노린 피싱 공격에 몰두
24일 카이버네트워크(kybernetwork) 측은 국내에서 돌고 있는 신규 가상화폐공개발행(ICO) 단계에서의 피싱 사기를 주의하라는 안내 메시지를 띄웠다.

▲피싱 사기에 조심하라는 내용의 카이버네트워크 안내 메시지[사진=메시지 캡처]

‘카이버네트워크’의 안내 메시지에 따르면 “카이버네트워크팀 멤버와 카카오톡, 텔레그램 공식 채널 관리자들은 오는 9월 15일 공식 카이버네트워크 토큰세일 시작일 이전에 개별적으로 안내메일을 절대 보내지 않았다”며 “토큰세일 판매일 이전에 유사한 메시지를 메일에서 확인하거나 1:1 개인메시지로 받는다면 범죄자들에 의한 피싱 시도이니 공식 팀멤버나 카카오톡, 텔레그램 관리자를 통해 신고해줄 것”을 당부했다.

한 보안전문가는 “한국의 가상화폐 투기가 전세계적으로 최고의 화력을 자랑하다보니 카카오톡 등을 통해서도 ICO 피싱 사기가 이루어지는 중”이라고 밝혔다.

▲코인원을 사칭한 피싱 문자와 사이트[사진=제보자 제공]

코빗, 빗썸, 코인원 등 해커는 동일범 가능성↑
23일에는 ‘코인원’ 거래소를 사칭한 ‘코인원 로그인 알림’ 문자 메시지와 ‘출금 완료 알림’으로 둔갑한 피싱 메일도 연이어 발견됐다. 문자 피싱의 경우 ‘코인원 IP가 이전과 다른 경우 문자 발송하고 있다’는 내용을 담고 있으며, 인터넷을 통해 문자메시지가 돌고 있다. 게다가 피싱범들이 발신자 전화번호를 조작해 담당자 연락처를 인천광역시 블로그 사진 공모전 담당자로 엉뚱하게 공지하는 등 교묘한 수법으로 추적을 피하고 있다.

‘입출금 알림’ 메시지로 위장한 피싱 메일의 경우 출금완료 메시지와 함께 인터넷 출금 주소가 적혀 있다.

▲빗썸을 사칭한 피싱 사이트 사례[사진=제보자 제공]

23일 발견된 가상화폐 거래소 ‘빗썸’를 사칭한 피싱 사이트의 경우는 ‘비번입력형식오류 8자리이상’ 메시지를 띄워 계정정보 입력을 유도하고 있다.

이들의 공격 방식에 대해 빛스캔 임채호 연구소장은 “검찰에서도 계속 추적 수사하고 있는 것으로 보인다”며 “공격 방식은 일반 해킹과 크게 차이가 없으며 돈의 흐름에 따라 공격자들이 움직이고 있다. 문제는 코인 처리가 익명 보장인데, 누가 누구에게 돈이 전달되었느냐가 핵심”이라고 지적했다.

공격방식을 분석한 한 보안전문가는 “코빗, 빗썸, 코인원 등의 가상화폐 거래소 해커들은 동일범으로 보인다”며 “기존 거래소의 도메인을 .or. kr로 전부 등록해 피싱 공격을 하고 있으며, 도메인 등록은 모두 국내 도메인 등록업체 ‘후이즈’를 통해 진행됐다”고 분석했다. 덧붙여 이들은 헨더슨, 시카고 등 미국 서버들을 대량 확보해 피싱 서버로 악용하고 있다고 설명했다.

또 다른 보안전문가는 “최근 국내 가상화폐 거래소 피싱이 폭증 추세”라며 “중국 쪽의 공격으로 의심되며, 다양한 공격 변화가 예상되는 만큼 주목해야 한다”고 밝혔다.

여러 피싱 공격 중 국내 상황에 맞게 정부, 금융권 등의 한글문서를 위장한 피싱메일의 경우와 문제메시지, 도메인등록 등을 이용한 경우는 국내 사정을 잘 알고 있는 해커들로 범위가 좁혀지는 양상이다. 일각에서는 가상화폐를 노린 공격의 한 축이 중국 쪽으로 기울어진다면, 다른 한 축은 북한을 가리키는 시각이 지배적이다. 이들은 외화벌이 수단으로 가상화폐 거래소의 해킹 주범으로 지목되고 있다.

특히 북한 해커의 경우 외화벌이 수단으로 가상화폐 거래소를 타깃으로 해킹 공격에 가담하고 있다. 이들의 공격 방식은 국내외 특정 웹 사이트를 해킹한 후 그곳을 거점으로 구축하는 형태다. 이후 공격 대상에 따라 한글, 워드, 엑셀, 매크로 등의 문서로 위장해 악성코드를 심어 먼저 침투시도를 하는 것으로 분석되고 있다.

침투 성공 후에는 지령에 따라 원격 수색을 한다. 공격자들은 주로 가상화폐 거래소 관계자들이 보유한 내부정보나 서버의 구조를 파악하는데 주력하고 있으며, 가상화폐 관련 커뮤니티 활동을 통해 최신 트렌드 습득 및 공격 기법 연구를 진행하는 것으로 알려졌다.

이와 관련 익명을 요청한 보안업계 관계자는 “공격자 입장에서 물건 거래에 사용되고 현금화 할 수도 있는 가상화폐는 매력적인 공격 대상”이라며 “범죄조직부터 외화가 필요한 국가지원 공격자까지 다양한 공격자가 존재할 수 있다. 이러한 가상화폐의 가치가 높게 유지되면 더 많은 공격이 감행될 것으로 예상된다”고 우려했다.

이어 공격방식에 대해 또 다른 관계자는 “최근 가상화폐 거래소 공격이 확실히 증가하고 있다”며 “거래소와 거래소 고객을 노린 공격자가 한글 파일과 피싱으로 공격하고 있다. 한 가상화폐 거래소의 경우 공격 방식이나 페이스트빈(Pastebin)에 정보를 올리는 사례에서 과거 보안사고와의 연관성도 살펴볼 필요가 있다”고 말했다.

가상화폐 거래소의 미흡한 법적 규제와 임직원의 보안인식 부족도 한 몫
익명을 요청한 금융권 관계자는 “가상화폐 해킹이 최근 굉장히 활발해지고 있고, 올해 초부터 북한에서도 관련 회사들을 계속 공격하고 있다”며 “공격자 입장에서는 일부 가상화폐가 익명성이 보장되고, 자금 세탁이 쉬운데다가 추적도 쉽지 않아 가상화폐 공격에 집중하고 있다”고 말했다.

그러면서 그는 “가상화폐 거래소 공격 수법은 기존 해킹 방식과 유사하나 가상화폐 거래소와 관련한 법적 규제와 보안 인프라 투자도 미흡하고, 내부직원들의 해킹에 대한 인식수준도 낮기 때문에 피해가 계속 발생하는 것”이라고 지적했다.

고려대학교 이상진 교수는 “가상화폐가 안전하다는 것은 가상화폐를 위조할 수 없고 이중 사용할 수 없다는 것이지 거래 시스템이 안전한 것은 아니”라며 “가상화폐는 디지털 데이터로 표현돼 일반인들은 보호 방법을 잘 모르고 사용방법도 미숙해서 사이버범죄자들의 표적이 된다. 사이버공간에서 발생했던 피싱, 파밍, 메모리해킹 등 모든 사기 수법이 가상화폐 탈취에 악용되고 있고, 앞으로도 더욱 기승을 부릴 것”이라고 말했다.

이에 이 교수는 “사이버범죄는 익명성 때문에 검거가 대단히 어려운 만큼 예방이 최선이며 안전성이 검증된 수단으로 가상화폐 거래를 하는 것이 바람직하다”고 덧붙였다.

조기탐지의 필요성을 제시한 큐브피아 권석철 대표는 “피싱, 파밍, 그리고 APT 공격 등 모든 것이 순서대로 일어나고 있다. 결국 현존하는 보안체계에 대한 문제점이 있다”고 지적하며, “악성코드 자체는 알려지지 않은 경우 탐지가 안 되지만 해킹을 위한 초기 움직임 즉, 내부 제어권을 획득하기 위한 해커의 움직임은 탐지가 가능하기 때문에 엔드포인트에서의 조기탐지가 중요하다”고 말했다.
[김경애 기자(boan3@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)