북한 해킹 세력이 악성코드가 담긴 가짜 백서를 메일로 보내 해킹을 시도한 정황이 포착됐다. 또 암호화폐 거래소로 추정되는 국내외 기관 6곳이 이를 열어본 사실이 확인됐다.
6일 보안전문기업 큐브피아는 지난 9월 북한 해킹 세력이 가짜 백서에 악성코드를 심어 퍼뜨렸고, 총 6개 기관에서 이 백서를 열어본 사실을 확인했다고 밝혔다. 권석철 큐브피아 대표는 “백서를 연 6곳의 메일 주소를 확인한 결과 이들은 개인이 아닌 암호화폐 거래소로 추정된다”며 “해커의 접근 기록을 확인하고, 그 원천을 추적하는 자체 기술로 해당 정황을 파악했다”고 밝혔다. 이어 그는 “악성코드를 통해 접근한 해커가 공격 없이 잠복할 수도 있어 구체적인 피해 현황은 파악할 수 없다”며 “실시간 사이버 추적 프로그램 등을 통해 피해를 최소화해야 한다”고 덧붙였다.
또 지난 10월과 11월에는 같은 세력이 카카오톡 단체방, 투자자 커뮤니티 등 암호화폐 투자자가 모인 곳을 중심으로 가짜 백서를 퍼뜨린 정황도 포착됐다. 권 대표는 “9월처럼 총 몇 명이 백서 파일을 열어본 것인지는 파악되지 않았으나 커뮤니티의 성격상 불특정 다수가 파일을 열었을 확률이 높다”고 설명했다.
이 같은 북한의 해킹 공격은 어제오늘 일이 아니다. 주로 악성코드가 담긴 파일을 보내 피해자 컴퓨터에 접근한 뒤 암호화폐 지갑 키(Key)를 습득하는 방식으로 이뤄진다. 악성코드를 이용한 해킹 방법은 고전적이지만 이를 예방하기는 쉽지 않다. 암호화폐 거래소는 백서나 이력서로 보이는 파일을 열지 않을 수 없기 때문이다. 투자자 역시 커뮤니티 등에서 공유되는 파일을 경계 없이 열어보기 쉽다.
특히 공격 대상이 암호화폐 거래소에서 개인 투자자로 확장되면서 해킹을 막는 것은 더욱 어려워졌다. 그간 북한 해킹 세력은 파산한 거래소 ‘유빗’의 전신인 ‘야피존’을 시작으로 빗썸, 코인이즈 등 암호화폐 거래소를 집중 공격해왔다. 미국 자유아시아방송(RFA)에 따르면 북한 해킹조직 ‘히든코브라(Hidden Cobra)’는 한국 금융감독원을 사칭한 메일을 보내 거래소를 공격했으며, 러시아 그룹-IB(Group-IB) 발표에 따르면 해킹그룹 라자루스(Lazarus)도 거래소에 악성코드를 배포했다. 이런 방식은 최근 개인 투자자들에게까지 번졌다. 큐브피아는 지난달 29일 개인 투자자를 대상으로 한 북한 해커들의 해킹 시도 30건 이상을 탐지했다.
전문가들은 암호화폐를 도난당할 수 있는 컴퓨터라면 반드시 유료 백신을 쓰고, 파일을 열어볼 땐 확장자에 유의해야 한다고 경고했다. 권 대표는 “파일을 열기 위해 특정 소프트웨어를 실행해야 하는 ‘.ARI’ 파일로 위장한 공격 사례가 있었다”며 주의를 당부했다. 김현걸 한국사이버보안협회 이사장은 “백신에 걸리지 않도록 만든 파일이 많아, 일반적으로 컴퓨터에 깔려 있는 무료 백신 프로그램으로는 예방이 힘들다”며 “유료라도 가장 좋은 백신 프로그램을 쓰는 것도 하나의 방법”이라고 설명했다.
/박현영기자 hyun@decenter.kr
- 박현영 기자
- hyun@decenter.kr