#거래업체 직원 노리는 해킹 이메일 대거 유포 

#늘 있던 해킹 공격? 이번엔 다르다

#또 핫월렛에 보관했다면 그냥 털려라 

가상자산 대장주 비트코인이 다시 상승세를 보이면서 해커들이 이제는 이용자 PC가 아닌 가상자산 거래업체를 직접 겨냥하고 있다. 굳이 복잡한 랜섬웨어를 뿌리는 것보다 허술한 보안체계를 유지하는 중소 가상자산 거래업체를 직접 공략하는 것이 더 효율적인 탓이다. 

"파일 열면 끝!" 가상자산 거래업체 직원 직접 노린다, 악성코드 대거 유포 

19일 보안업계에 따르면 최근 가상자산 거래업체 관계자를 대상으로 '국내 암호화폐 거래소 신입사원 인력양식'이라는 제목의 이메일이 대거 유포된 것으로 확인됐다.

이스트시큐리티 관계자는 "OOOOO신입 사원 입력 양식이라는 제목의 악성문서를 통해 사용자의 문서 열람 및 실행을 유도하는 사례가 확인됐다"면서 "해당 악성문서가 실행되면 정상적인 MS오피스 다운로드 주소처럼 속인 가짜 경로로부터 악성 매크로가 담긴 'dotm' 문서 파일이 추가 다운로드 및 실행된다"고 설명했다. 

이어 그는 "이 형태는 지난 4월에 직원 상여금 발급청구서로 위장, 유포됐던 케이스와 거의 유사하다"면서 "해커가 지속적으로 특정 타깃을 대상으로 공격을 시도하고 있어, 관련업계 관계자들은 출처가 불분명한 메일은 열람하지 않아야한다"고 조언했다. 현재 빗썸과 업비트를 비롯한 국내 대부분의 가상자산 거래업체를 대상으로 이같은 공격 방식이 대거 활용되고 있다는 것이 보안업계 관계자들의 설명이다. 

늘 있던 해킹 공격, 이번에 더 조심해야하는 이유  

국내 가상자산 거래업체를 대상으로 한 해킹 공격은 사실 이번이 처음이 아니다. 최근 2년새 확인된 해킹 피해만 10여건에 달하고, 지난해 11월에는 국내 1위 가상자산 거래업체 업비트가 해킹 공격을 당해, 약 690억원의 가상자산을 유실한 바 있다. 올 1월에도 거래사이트 직원을 사칭하는 이메일을 대량전송하는 방식의 해킹 공격이 잇따랐다. 보안업계에선 이들 공격 대부분 외화벌이가 시급한 북한 추정 해커 소행으로 보고 있다.

한동안 잠잠하던 가상자산 거래업계에 다시 해킹주의보가 발령된 이유는 국내 가상자산 거래 시세가 최근 큰폭으로 오름세를 보이고 있기 때문이다. 특히 거래량이 늘어나고 있지만, 대형업체를 제외하면 여전히 중소업체들은 인터넷이 연결된 핫월렛을 통해 가상자산을 보관하고 있어 보안에 취약하다. 해커 입장에선 이미 시중에 풀린 이용자의 이름과 주민번호 휴대전화번호를 조합해 쉽게 뚫어낼 수 있다. 핫월렛에 보관했다면 그 어느 때보다 탈취가 용이한 상황이다. 

보안업계의 한 관계자는 "북한의 대표적 해커그룹 라자루스로 추정되는 해킹 세력은 수년간 국내외 가상자산 거래사이트를 해킹해 외화벌이 수단으로 활용 중"이라며 "특히 중견급 이하의 거래업체 대부분 핫월렛에 가상자산을 보관하는 습관을 버리지 못해, 내부 계정 정보가 확보하면 쉽게 진입할 수 있다는 것을 악용하고 있다"고 지적했다. 

또다른 보안업계의 관계자 역시 "내부 보안교육을 철저히하고 핫월렛으로의 가상자산 이동은 절대 차단해야 하며 당분간은 되도록 투자자들도 개인지갑에 가상자산을 보관하고 있는 것이 안전하다"고 조언했다.

이수호 기자 lsh5998688@techm.kr