2024-03-29 06:10 (금)
문종현 이사 "암호화폐 거래소 해킹 피해금액 1천118억원 규모...공격자 추적해보니..."
상태바
문종현 이사 "암호화폐 거래소 해킹 피해금액 1천118억원 규모...공격자 추적해보니..."
  • 길민권 기자
  • 승인 2018.12.06 13:42
이 기사를 공유합니다

라자루스나 히든코브라 공격방식과 동일...수사기관과 정부기관 공문, 이력서 등으로 위장

▲ 5일 개최된 해킹방지워크샵에서 문종현 이스트시큐리티 이사는 '실제 사례기반 분석을 통한 암호화폐 거래 관계자를 노린 APT 공격'을 주제로 발표를 진행했다.
▲ 5일 개최된 해킹방지워크샵에서 문종현 이스트시큐리티 이사는 '실제 사례기반 분석을 통한 암호화폐 거래 관계자를 노린 APT 공격'을 주제로 발표를 진행했다.
한국침해사고대응팀협의회(CONCERT, 원유재 회장/심상현 국장) 주최 제22회 <해킹방지워크샵>이 5일 여의도 전경련회관 컨퍼런스센터에서 'You Are Not Alone'이란 부제로 각 분야 정보보안 실무자들이 대거 참석한 가운데 성황리에 개최됐다.

이 자리에서 문종현 이스트시큐리티 이사는 '실제 사례기반 분석을 통한 암호화폐 거래 관계자를 노린 APT 공격'을 주제로 발표를 진행했다. 문 이사가 암호화폐 거래소 해킹과 관련 조사 내용들을 최초 발표한 자리라 참관객들의 큰 관심을 끌었다.

우선 지난해와 올해 한국 주요 암호화폐 거래소 해킹사건들을 정리하면 다음과 같다.

-2017년 4월 22일: 야피존이 해킹으로 55억원 상당의 암호화폐 부정인출 사건 발생. (추가 단서 발견시까지 내사 중지.)

-2017년 6월 28일: 빗썸 해킹으로 70억원 상당의 암호화폐 부정인출 사건 발생. (피의자 일부 검거, 계속 수사중)

-2017년 9월 23일: 코인이즈 해킹으로 21억원 상당의 암호화폐 부정인출 사건 발생. (국제공조 진행중)

-2017년 12월 19일: 유빗 해킹으로 259억원 상당의 암호화폐 부정인출 사건 발생. (국제공조 진행중)

-2018년 6월 10일: 코인레일 해킹으로 504억원 상당의 암호화폐 부정인출 사건 발생. (국제공조 진행중)

-2018년 6월 19일: 빗썸 해킹으로 209억원 상당의 암호화폐 부정인출 사건 발생.(국제공조 진행중)

지난해부터 올해까지 암호화폐 거래소 해킹 피해금액만 합산해도 1천118억원 규모다. 문종현 이사는 이 해킹 사건의 범인이 누구인지에 집중하고 악성코드 보다는 현상에 초점을 맞춰 차근차근 조사를 진행해 왔다.

거래소 해킹과 관련 경찰은 북한 소행이라는 결론을 내리고 여러차례 언론에 발표한 바 있다.

경찰측 발표들을 살펴보면, 북한 해커가 해외서버에 거점을 확보하고 경유지를 통해 국내 포털 웹메일과 지메일 등에 가입한다. 계정을 해킹한 것이 아니다. 그 후 특정 암호화폐 거래소에 악성메일을 보낸다. 정상문서와 악성문서를 같이 보내는 방식이다. 보안솔루션을 우회하기 위해서다. 직원이 해당 메일의 파일을 열어보는 순간 악성코드 감염이 이루어지고 후속 해킹이 진행된다.

문 이사는 "지난해 5월 '납세담보변경요구서'라는 제목의 악성 한글파일이 국내에 유포돼 조사를 진행한 바 있다. 어떤 해킹그룹의 코드와 유사한지 조사를 진행했다. 또 이들은 명령제어서버(C2)와 통신은 암호화 통신을 사용한다. 보안장비 우회를 위해서다. 이런 공격 방식은 2014년 청와대, 소니픽처스, 한수원 해킹 등에도 사용된 방식으로 북한 정부가 후원하는 라자루스나 히든코브라 해킹그룹들이 주로 사용하는 방법"이라며 "납세담보변경요구서 한글문서를 분석한 결과 지난해 암호화폐 거래소를 해킹할 때 사용했던 악성코드와 동일했다. 당시 경찰청은 암호화폐 거래소 해킹을 북한 소행으로 발표한 바 있다"고 설명했다.

이어 그는 "해당 악성문서를 마지막 작성한 사람의 아이디를 확인한 결과 'jxxxxxxx' 아이디로 조사됐고 이 아이디는 올해 9월 미국 법무부에서 공식 기소한 북한 해커의 아이디와 동일하다는 것을 발견했다. 그 북한 해커는 소니픽처스 해킹, 방글라데시 중앙은행 해킹, 워너크라이 랜섬웨어 유포자로 현재 검거대상이다. 그는 라자루스나 히든코브라에 소속된 해커로 알려져 있다"며 "해당 아이디가 만든 악성문서는 올해 3월 멕시코 시티은행 관련 내용을 담고 해외에서도 발견됐고 올해 8월 국내 수사기관을 사칭해 암호화폐 거래소에 보내진 악성메일의 문서에도 발견됐다. 이외에도 다수의 암호화폐 거래소를 타깃으로 한 악성문서들에서도 발견됐다"고 덧붙였다.

공격자는 한글과 워드문서로 만든 이력서를 암호화폐 거래소 인사팀 메일로 보내기도 했다. 실제 거래소 인사팀에서 이력서 문서를 열어본 후 해킹 사고를 당한 바도 있다. 또 공정거래위원회를 사칭해 조사를 나가겠다는 식의 공문으로 위장해 가상화폐 거래소 해킹을 시도한 경우도 있다.

문종현 이사는 "수사기관이나 정부기관 공문형식 그리고 이력서 등으로 위장해 보내는 파일은 업무 담당자라면 열어보지 않을 수 없다. 또 최근 해커들은 한글과 워드 문서를 같이 보낸다. 해당 기업에서 어떤 워드프로세스를 사용하는지 모를 경우 해킹 성공률을 높이기 위해서다. 또 정상 파일과 악성 파일을 같이 보내 보안장비를 우회하고 C2와 암호화 통신을 사용하고 있다. 정치적 분위기와는 상관없이 사이버공격은 계속 되고 있다는 것을 명심하고 각별한 주의를 기울여야 한다"고 당부했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★