[단독] "북한, 한국 가상화폐 거래소 해킹 시도했다"

미국 보안업체 파이어아이
"세무조사서류 미끼로 지난 5월 말 이메일 발송
악성 프로그램 퍼뜨려"


[ 추가영 기자 ] 북한이 한국 내 가상화폐 거래소를 노린 사이버 공격을 감행한 사실이 드러났다. 사이버 공격이 북한의 새로운 외화벌이 수단으로 활용되고 있다는 분석이 나왔다.

미국 사이버보안업체 파이어아이는 지난 5월 말 북한 사이버 공격 그룹으로 알려진 템프허밋이 한국 내 가상화폐 거래소를 타깃으로 스피어피싱 이메일을 보낸 사실을 확인했다고 11일 밝혔다.

파이어아이에 따르면 이 해킹 그룹은 5월 종합소득세 신고 마감 시기를 노려 세무조사준비서류.hwp 등 한글문서를 미끼로 보내 악성프로그램 ‘피치핏(PEACHPIT)’을 퍼뜨리려고 했다. ‘국내 가상화폐의 유형별 현황 및 향후 전망’이란 제목의 VIP리포트(사진)를 작성해 가상화폐 투자에 관심이 많은 개인을 활용했다.

파이어아이는 특정인이나 회사를 대상으로 하는 스피어피싱 이메일 수법과 미끼로 활용한 문서 등을 검토한 결과 북한 해킹 그룹이 한국 내 가상화폐 거래소를 타깃으로 해킹을 시도했다는 결론을 내렸다.

파이어아이 관계자는 “이번 공격에 북한 해킹 그룹이 주로 사용하는 악성프로그램과 취약점(CVE-2017-0262)이 활용됐다”며 “사이버 공격이 북한의 새로운 외화벌이 수단이 됐다”고 말했다.

정보기술(IT) 전문매체 와이어드 등에 따르면 2014년 소니픽처스, 지난해 2월 방글라데시 중앙은행 해킹의 주범으로 지목된 북한 해킹 그룹은 템프허밋, 래저러스, 오퍼레이션 트로이 등의 이름으로 활동을 계속하고 있다. 이들은 5월 워너크라이 랜섬웨어 공격의 배후로 지목되기도 했다.

이스라엘 이메일보안 전문기업 보티로의 아비브 그라피 최고기술책임자(CTO)는 “파일을 볼모로 잡고 가상화폐를 요구하는 랜섬웨어 공격이 급증하면서 특정 집단을 노리는 스피어피싱 메일 공격도 늘어나고 있다”며 주의를 당부했다. 보티로 조사에 따르면 표적 공격의 91%가 이메일 첨부파일을 활용하는 것으로 나타났다.

이런 가운데 비트코인 등 가상화폐 가치가 급등하자 가상화폐 거래소를 노리는 해킹 시도가 늘고 있다.

한국 내 가상화폐 거래소 야피존에선 전자지갑 해킹으로 4월에 55억원 상당의 비트코인이 탈취되는 사고가 발생했다. 또 다른 가상화폐 거래소 빗썸은 6월 직원 PC가 해킹당해 3만여 명의 고객 정보가 유출됐다.

텔아비브=추가영 기자 gychu@hankyung.com