열람 시 해커 서버와 연결…"숙련된 해커 소행"
 |
(서울=연합뉴스) 고현실 기자 = 국내 최대 가상화폐거래소 빗썸 회원을 대상으로 이달 초 악성 이메일이 발송됐던 것으로 확인됐다.
보안업계는 20일 드러난 350억원 규모의 빗썸 해킹 사고와 연관성에 주목하고 있다.
업계에 따르면 6월 초 빗썸 회원들에게 발송된 이메일은 해커의 명령제어(C&C) 서버로 연결되는 악성코드를 탑재했다. 이용자가 메일을 열람하고 해당 코드를 실행하면 해커는 이용자의 정보를 손에 넣을 수 있다.
회원에게 발송된 이메일과 이번 해킹 사고의 연관성은 아직 확인되지 않았지만, 이메일이 거래소를 노린 공격의 시작일 수 있다는 게 보안업계의 분석이다.
한 보안 전문가는 "공격자가 특정 거래소 회원들의 이메일 정보를 갖고 있었다는 점으로 미뤄볼 때 최종 타깃은 거래소였을 것"이라며 "회원이면서 직원인 사람을 노리고 내부 정보를 수집해서 침투를 시도했을 가능성이 있다"고 분석했다.
눈에 띄는 점은 악성 이메일의 명령제어 서버가 최근 제작된 이력서 사칭 악성파일의 통신 서버와도 연결된다는 점이다.
5월 말 제작된 이 악성파일은 주로 이메일을 통해 가상화폐 거래소를 포함한 기업에 유포됐을 것으로 추정되나 실제로 이메일로 발송됐는지는 확인되지 않았다.
이력서 사칭 이메일을 이용한 거래소 공격은 이미 지난해 국내에서 성행한 수법이다.
빗썸 역시 작년 6월에 이력서 사칭 이메일에 당했다. 당시 공격자는 이메일에 첨부한 입사지원서에 악성코드를 숨겨 빗썸 직원의 개인용 컴퓨터를 해킹, 3만6천여건의 개인정보를 빼돌렸다. 공격 수법으로 미뤄 북한 해커가 배후로 지목됐다.
이후 빗썸은 통합보안 솔루션 '안랩 세이프 트랜잭션'을 업계 최초로 도입하며 보안 강화에 나섰지만, 이번에 다시 해커의 제물이 되고 말았다.
이스트시큐리티 문종현 이사는 "보안 솔루션을 무력화했다는 점에서 숙련된 해커일 가능성이 크다"며 "이미 가상화폐 거래소는 해커들의 주요 돈벌이 수단이 됐으며, 다른 거래소에도 유사한 일이 벌어질 수 있다"고 말했다.
okko@yna.co.kr
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
