n번방과 코로나19로 인한 불안해진 사회 분위기를 틈타 국내 암호화폐 거래소를 타깃한 북한발 해킹 공격이 발견돼 사용자들의 주의가 요구된다.
국내 보안 전문 기업 이스트시큐리티의 시큐리티대응센터(ESRC) 문종현 센터장은 2일 코인데스크코리아와의 통화에서, "북한이 운영하고 있는 것으로 알려진 해킹그룹 '라자루스'가 n번방, 코로나19 같은 키워드를 활용해 국내 암호화폐 거래소와 이용자를 타깃으로 삼아 공격하고 있는 것을 발견했다"고 말했다.
이번에 발견된 라자루스의 해킹 공격은 '코로나바이러스 대응', '코로나바이러스 확진자 동선 확인', 'n번방 수사 대상 확인' 등 이메일 제목을 단 '사회공학적' 기법으로 진행됐다. 사회공학적 기법은 해당 시점의 사회적 이슈로 위장해 사용자들의 호기심과 심리적 공포를 자극하는 방식을 말한다.
이스트시큐리티에 따르면, 이 같은 제목의 이메일에 첨부된 HWP 문서파일을 실행하면, 한글 문서 실행과 동시에 해외의 명령제어(C2) 서버와 연결돼 악성코드가 사용자 PC에 설치된다. 사용자 PC에 설치된 악성코드는 공격자의 목적에 따라, PC 내 문서 자료나 비밀번호 등을 수집한다.
암호화폐 거래소 관계자나 일반 사용자의 PC가 악성코드에 감염되면, 거래소 로그인 정보, 지갑 정보뿐만 아니라 개인키 등도 유출될 수 있다. 이렇게 되면 해커는 탈취한 로그인 정보와 개인키를 활용해 거래소에 보관된 암호화폐를 빼갈 수 있다. 지난해 11월 거래소 업비트에서 발생한 580억 원 상당의 이더리움 탈취 사건과 관련해, 지난 3월 미국 법무부는 보도자료를 내어 해킹 배후가 라자루스라고 지목한 바 있다.
"암호화폐 거래소 관계자와 이용자를 타깃한 공격이 지속해서 발견되고 있다. 빈틈이 발생한다면 또다시 업비트와 같은 대규모 해킹 사고가 발생할 수 있는 만큼 거래소뿐만 아니라 일반 사용자도 세심한 주의가 필요하다." - 문종현 센터장
제보, 보도자료는 contact@coindeskkorea.com