가상화폐 노린 사이버공격, 점점 대범해진다

가상화폐 거래소 관계자·이용자 노린 스피어피싱 발생
가상화폐 채굴 악성코드 심은 이메일도 유포

가상화폐

[아시아경제 한진주 기자] 가상화폐 거래소와 이용자들을 노린 사이버공격이 나날이 대범해지고 있다. 구직자로 위장하거나 인터넷진흥원을 사칭한 이메일 공격까지 발생했다.

16일 보안업계에 따르면 가상화폐 거래소의 정보를 탈취하거나 가상화폐를 채굴하는 악성코드를 유포하려는 스피어피싱 공격이 꾸준히 발생하고 있다. 스피어피싱이란 특정 개인이나 회사를 대상으로 한 피싱 공격으로, 공격 대상에 대한 정보를 수집해 공격하는 것을 말한다.

과거에는 공격자들이 악성코드를 심은 파일을 읽도록 유도하는 이메일을 보낸 후 랜섬웨어를 해당 컴퓨터에 설치해 데이터를 암호화하고, 푸는 대가로 비트코인을 요구하는 방식이 주를 이뤘다. 최근에는 가상화폐 가격이 치솟고 거래가 활발해지면서 아예 가상화폐를 채굴하거나 가상화폐 계정 정보를 탈취하는 방식으로 공격이 진화됐다.

가상화폐 거래소 직원을 노린 공격은 주로 채용문의나 입사지원을 사칭한 공격들이 주를 이룬다. 공격자들은 입사지원서 한글 파일(.hwp)에 악성코드를 해외 서버와 통신이 이뤄지도록 한다. 이를 통해 이용자 정보를 유출을 시도하거나 추가 악성 프로그램을 설치해 원격제어 공격도 감행할 수 있도록 했다.

표적 공격에 노출되지 않으려면 문서작성 프로그램 등의 보안 업데이트를 통해 최신 버전으로 유지하고, 입사지원서나 문의관련 메일을 읽을 때도 각별한 주의가 필요하다.

최근에는 민간 보안을 담당하는 기관인 인터넷진흥원을 사칭한 이메일도 유포됐다. 공격자는 메일 제목을 '[한국인터넷진흥원] 가상화폐 거래소 보안점검'으로 표기해 보안점검을 안내하는 것처럼 꾸민 메일을 보냈다. 해당 이메일에는 PDF 공문과 악성코드가 포함된 한글 문서를 첨부했다.

인터넷진흥원은 "보안 점검 협조 요청 내용의 메일을 발송하지 않는다"며 "메일 열람 시 송신자를 정확히 확인하고, 출처가 불분명한 이메일과 첨부파일은 열람하지 말아야 한다"고 당부했다.

중고거래, 구직자로 위장한 스피어피싱 공격(출처=이스트시큐리티)

해커들은 입사지원이나 중고거래, 택배 배송 메일로 위장해 가상화폐를 채굴하는 악성코드를 유포하기도 한다. 중고물품을 파는 판매자에게 구매하고 싶다는 이메일을 보내거나 구직중인 기업에게 입사지원서를 보내는 등 수신자가 혹할만한 내용으로 꾸민 이메일을 보내는 것이다. 공격자는 메일에 실행파일, 바로가기 파일이 포함된 압축파일(egg)을 첨부해 악성코드가 실행되면 코인을 채굴하도록 설계한다.

가상화폐 이용자를 겨냥한 공격도 이어지고 있다. 지난 8월에는 가상화폐 거래소 이용자들에게 '출금 완료' 안내로 조작한 피싱 메일이 유포됐다. 당시 공격자는 거래소를 사칭해 다른 IP로 로그인이 발생한 것처럼 보안에 주의하라고 안내하면서 가짜 사이트로 접속하도록 유도했다.

이스트시큐리티는 "가상화폐 거래소를 사칭한 유사 해킹에 노출되지 않으려면 출처가 불분명한 이메일 열람을 삼가고, 동일한 계정 정보를 여러 웹사이트에서 사용하지 않도록 로그인 암호를 다르게 사용하는 보안습관이 필요하다" 고 말했다.

한진주 기자 truepearl@asiae.co.kr