“북한 추정 해커 업비트 해킹 시도 발견”

등록 : 2019년 5월 29일 18:00 | 수정 : 2019년 5월 29일 17:54

업비트 이벤트를 사칭한 이메일. 출처=이스트시큐리티

 

암호화폐 거래소 업비트와 회원을 겨냥한 북한 추정 해커집단의 사이버공격이 포착됐다. 회원 정보가 유출되진 않은 것으로 보이지만, 같은 유형의 공격은 또 나올 가능성이 있어보인다.

보안업체 이스트시큐리티가 공개한 자료를 보면, 해커는 28일 오전 9시21분 이메일을 보내 사이버 공격을 시도했다. 메일 제목은 ‘[안내]업비트 보디엑스(VDX) 상장 이벤트 경품 수령을 위한 제세공과금 납부 처리 정보 안내’였다. 이스트시큐리티는 해당 메일이 업비트가 발송한 게 아니라 외국에 있는 서버에서 발송된 것으로 확인됐다고 밝혔다.

메일에는 ‘이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp’라는 파일이 첨부돼있었다. 이스트시큐리티에 따르면, 이 파일을 실행하면 정상적인 문서로 보이는 화면이 제시되지만 동시에 악성코드도 실행된다. PC에 저장된 프로그램 설치 목록, 암호화폐 거래소 계정 정보, 인증 정보 등을 해커가 지정한 외부 서버로 전송하는 기능을 한다. 뿐만 아니라, 해커가 설정한 명령제어(C2) 서버에 접속해 원격제어를 위한 악성파일도 PC 내부에 설치한다.

북한 추정 해커집단이 5월28일 발송한 이메일에 포함된 문서를 실행하면, 정상 문서로 보이는 화면이 제시되지만 동시에 악성코드가 실행된다. 출처=이스트시큐리티

이스트시큐리티는 이번 사이버공격을 감행한 것은 북한 추정 해킹그룹 ‘김수키’일 가능성이 높다고 보고 있다. 문종현 이스트시큐리티 ESRC 센터장은 “일반적으로 해커그룹이 사용하는 공격도구와 악성코드를 분석해보면 각각 고유한 특징이 존재한다”며 “최근 통일부를 사칭한 ‘오퍼레이션 페이크 스트라이커(Operation Fake Striker)’에서 사용된 악성코드와 기법이 90% 이상 유사하다”고 설명했다.

오퍼레이션 페이크 스트라이커는 통일부 정세분석총괄과를 사칭해 정부 기관과 관련 전문가를 대상으로 한글 문서를 첨부한 이메일을 보내는 형태의 APT(지능형지속위협) 공격이었다. 이번과 마찬가지로 HWP 문서를 실행하면 내부에 포함된 악성코드가 실행돼 PC 내 각종 정보를 빼돌렸다. 문 센터장의 설명에 따르면, 최근 발생한 사이버공격 2건의 수법을 추적한 결과 2014년 12월 발생한 한국수력원자력 해킹 사건과 동일한 것으로 나타났다. 당시 정부 합동조사단은 ‘김수키’라는 북한 해킹그룹에 의해 사이버공격이 발생했다고 발표한 바 있다.

업비트 사칭 이메일 경고 공지. 출처=업비트

 

형태의 유사성에도 불구하고, 이번 공격은 암호화폐 거래소를 사칭해 암호화폐 정보를 정조준했다는 특징이 두드러진다. 앞서 한수원 및 통일부 관련 해킹의 목표로 추정됐던 외교·안보 관련 정보가 아니기 때문이다. 이스트시큐리티는 이번 해킹 공격의 피해자 메일 계정은 암호화폐 관련 인터넷 카페 등에서 수집된 것으로 보인다고 전했다. 또 업비트 외 국내 다른 주요 거래소와 관련된 신고도 들어오는 등 동시다발적인 해킹 조짐이 보인다면서, 추후 국내 암호화폐 거래소를 대상으로 대규모 해킹 사고가 발생할 수 있다고 경고했다.

“비트코인 가격이 상승하면서 거래소 이용 고객이 많아지고 있다. 해커 입장에서는 공격 대상자가 많아졌다는 것을 의미하며, 이를 통해 거래소에 보관된 암호화폐를 탈취할 가능성도 커진 셈이다. 작년에 빗썸 해킹 사고가 발생하기 2~3달 전에도 이번과 같은 이메일을 사칭한 APT 공격이 발견됐다.” – 문종현 이스트시큐리티 ESRC 센터장

이스트시큐리티는 또 이번 사이버 공격에서 해커들이 HWP문서 파일을 암호가 걸린 상태로 전송한 탓에 보안 솔루션이 감지하지 못했다고 설명했다. 일반적인 문서 파일은 대부분 보안 솔루션들이 실행 전에 악성코드 여부를 탐지하는데, 문서가 암호로 잠겨있으면 탐지하지 않고 그대로 통과시키기 때문이다. 업비트 사칭 메일은 첨부파일에 암호를 걸어놓고 이용자들에게는 직접 입력하라며 ‘UPBIT’라는 암호를 알려줬다.

업비트 해킹 시도의 피해 규모는 아직 파악되지 않고 있다. 이스트시큐리티는 “신고가 접수된 피해가 아직 없다”고 밝혔다. 문종현 센터장은 “사이버공격으로 피해를 보지 않기 위해서는 의심스러운 파일이나 문서를 설치하거나 확인하지 말아야 한다”며 “윈도우나 보안 솔루션, 자주 사용하는 응용 소프트웨어 보안 업데이트를 주기적으로 하는 것이 무엇보다 중요하다”고 당부했다.

각종 제보 및 보도자료는 contact@coindeskkorea.com 으로 보내주세요.