열람 시 해커 서버와 연결…"숙련된 해커 소행"
국내 최대 가상화폐거래소 빗썸의 해킹 사고가 발생한 가운데, 이달 초 빗썸 회원을 대상으로 악성 이메일이 발송됐던 것으로 확인됐습니다.
보안업계는 오늘 (20일) 드러난 350억원 규모의 빗썸 해킹 사고와 연관성에 주목하고 있습니다.
업계에 따르면 6월 초 빗썸 회원들에게 발송된 이메일은 해커의 명령제어(C&C) 서버로 연결되는 악성코드를 탑재했습니다. 이용자가 메일을 열람하고 해당 코드를 실행하면 해커는 이용자의 정보를 손에 넣을 수 있습니다.
회원에게 발송된 이메일과 이번 해킹 사고의 연관성은 아직 확인되지 않았지만, 이메일이 거래소를 노린 공격의 시작일 수 있다는 게 보안업계의 분석입니다.
한 보안 전문가는 "공격자가 특정 거래소 회원들의 이메일 정보를 갖고 있었다는 점으로 미뤄볼 때 최종 타깃은 거래소였을 것"이라며 "회원이면서 직원인 사람을 노리고 내부 정보를 수집해서 침투를 시도했을 가능성이 있다"고 분석했습니다.
눈에 띄는 점은 악성 이메일의 명령제어 서버가 최근 제작된 이력서 사칭 악성파일의 통신 서버와도 연결된다는 점입니다.
5월 말 제작된 이 악성파일은 주로 이메일을 통해 가상화폐 거래소를 포함한 기업에 유포됐을 것으로 추정되나 실제로 이메일로 발송됐는지는 확인되지 않았습니다.
이력서 사칭 이메일을 이용한 거래소 공격은 이미 지난해 국내에서 성행한 수법으로, 빗썸 역시 작년 6월에 이력서 사칭 이메일에 당한 적 있습니다.
당시 공격자는 이메일에 첨부한 입사지원서에 악성코드를 숨겨 빗썸 직원의 개인용 컴퓨터를 해킹, 3만6천여건의 개인정보를 빼돌렸습니다. 공격 수법으로 미뤄 북한 해커가 배후로 지목됐습니다.
이후 빗썸은 통합보안 솔루션 '안랩
이스트시큐리티 문종현 이사는 "보안 솔루션을 무력화했다는 점에서 숙련된 해커일 가능성이 크다"며 "이미 가상화폐 거래소는 해커들의 주요 돈벌이 수단이 됐으며, 다른 거래소에도 유사한 일이 벌어질 수 있다"고 말했습니다.
[MBN 온라인뉴스팀]