미국 국토안보부 산하 침해사고대응팀(US CERT)의 히든 코브라 관련 경고문
미국 국토안보부 산하 침해사고대응팀(US CERT)의 히든 코브라 관련 경고문

지난 6월 암호화폐 거래소 빗썸 해킹 사건의 충격이 가시지 않은 가운데 최근 암호화폐 탈취를 노린 공격 징후가 잇따라 포착되고 있어 또 다른 해킹 사고에 대한 우려가 높아지고 있다.

14일 보안업계 관계자들에 따르면 최근 미국 국토안보부와 연방수사국(FBI)는 공동으로 해커 조직 ‘히든 코브라’가 만든 ‘키마블(KEYMARBLE)’ 악성코드가 활동하고 있다고 경고했다.

미국 정부는 이 악성코드가 장치 구성 데이터에 접근할 수 있으며 추가 파일을 다운로드하고 레지스트리를 수정하며 스크린샷을 캡처하거나 데이터를 추출 할 수 있다고 설명했다.

히든 코브라는 정체가 드러나지 않은 해킹 조직으로 북한 해커 집단 또는 그와 연계한 조직으로 알려져 있다. 히든 코브라는 2014년 소니 해킹사건과 2016년 방글라데시 중앙은행 해킹 사건을 일으킨 것으로 알려진 라자루스 그룹의 다른 이름 조직 또는 연계 조직인 것으로 추정된다. 

전문가들은 히든 코브라가 최근 금융권과 암호화폐 거래소 등을 겨냥하고 있다고 우려하고 있다. 실제로 올해 3월 미국 보안업체 맥아피는 히든 코브라가 터키 암호화폐 거래소와 비슷한 가짜 사이트를 개설해 개인 정보 탈취를 시도했다고 주장했다.

보안업체들의 경고도 나오고 있다. 한국의 악성코드 분석 전문가 그룹인 이슈메이커스랩은 암호화폐 거래소를 겨냥한 해킹 메일이 계속 유포되고 있다고 지적했다.

이슈메이커스랩에 따르면 6월 14일 G20에서 논의된 암호화폐 관련 규정으로 위장한 ‘국제금융체제 실무그룹 회의결과.hwp’ 파일을 담은 이메일이 발견됐다. 또 15일에는 금융 컨퍼런스 관련된 내용 파일을 담은 이메일이 확인됐다. 이들 이메일은 파일을 실행할 경우 악성코드가 설치되도록 만들어진 해킹 메일이었다. 

8월 6일 확인된 해킹 이메일에 첨부된 유사수신 관련 가짜 문서 출처: 이슈매이커스랩
8월 6일 확인된 해킹 이메일에 첨부된 유사수신 관련 가짜 문서 출처: 이슈매이커스랩

이슈메이커스랩에 따르면 7월 25일에는 ‘전자지갑개발자_김OO.hwp’라는 내용을 담은 해킹 메일이 8월 6일에는 ‘유사수신행위 위반통보.hwp’라는 해킹 메일이 적발됐다. 이들 해킹 메일은 암호화폐 거래소와 암호화폐 업계 종사자들이 관심을 두고 있는 내용을 담고 있는 것이 특징이다. 즉 암호화폐 거래소 관계자들을 겨냥한 타겟 공격인 것이다.

보안업체 이스트시큐리티 역시 금융감독원을 사칭해 국내 암호화폐 거래소 해킹을 시도하는 지능형지속위협(APT) 공격이 발생했다고 8월 8일 밝혔다.

이스트시큐리티에 따르면 공격자들은 금융감독원이 유사수신행위 법률 위반 통지문을 보낸 것처럼 위장해 암호화폐 거래소 관계자가 첨부파일을 열어보도록 유도했다. 만약 첨부파일을 열어볼 경우 관계자들의 PC가 악성코드에 감염될 수 있다.

암호화폐 거래소 이용자를 노린 해킹 메일도 유포되고 있다. 보안업체 하우리는 7월 18일 코빗 거래소를 사칭해 악성코드가 포함된 이메일이 유포되고 있다며 주의를 당부했다. 하우리에 따르면 해당 메일은 ‘[긴급] 코빗 거래소’라는 제목으로 유포됐으며 ‘공지사항.zip’ 파일명의 첨부파일이 링크돼 있었다. 그러나 이는 가짜로 파일을 다운로드하면 악성코드가 설치된다는 설명이다.

6월 해킹 사건 때와 유사한 상황

전문가들이 우려하는 것은 올해 6월 코인레일, 빗썸 거래소 해킹 사건의 발생하기 전과 유사한 상황이라는 점이다. 

6월 10일에는 암호화폐 거래소 코인레일은 해킹을 당해 400억 원 가량의 피해가 발생했다고 밝혔다. 이어 6월 20일 빗썸은 해킹을 당해 암호화폐를 절취 당한 사실을 공개했다. 빗썸은 28일 공지를 통해 해킹 사건으로 인한 피해 금액이 190억 원으로 잠정 집계됐다고 설명했다.

그런데 코인레일 해킹 사건이 발생하기 전인 5월 29일 미국 국토안보부와 연방수사국(FBI)은 히든 코브라 활동을 경고했다. 또 빗썸 해킹 사건이 발생하기 전인 6월 14일에도 히든 코브라의 악성코드 활동이 증가하고 있다고 경고했다.

미국 보안업체 에일리언볼트는 빗썸 해킹 사건이 발생 한 직후 6월 22일 사이트 공지를 통해 빗썸 해킹 사건이 히든 코브라와 연관된 라자루스 그룹과 관련됐을 수 있다고 주장했다.

에일리언볼트는 5월부터 6월초까지 한국 금융당국, 이력서 등을 위장한 한글 파일(HWP)에 악성코드가 첨부돼 유포됐다고 설명했다. 바로 여기에 사용된 악성코드가 라자루스와 관련됐다는 것이다. 에일리언볼트는 확신할 수는 없지만 거래소 해킹 배후로 라자루스가 의심이 된다고 밝혔다.

6월 21일 하우리는 이력서를 위장한 악성코드 한글문서에 주의할 것을 당부한 바 있다. 이 악성코드는 ‘신OO 전산담당 경력.hwp’ 파일명으로 유포됐는데 이 악성코드가 에일리언볼트가 지적한 악성코드와 같은 것으로 알려지고 있다.

연관성을 확신할 수는 없지만 미국 정부가 해커 그룹 활동이 증가하고 있다고 경고한 점, hwp 파일 형식으로 암호화폐 거래소를 겨냥한 악성코드가 유포되고 있다는 점이 최근과 지난 6월의 유사점이다. 다만 확실한 것은 암호화폐 거래소 관계자들을 겨냥한 공격이 집요하게 이어지고 있다는 것이다.

이에 보안 전문가들은 암호화폐 거래소들이 해킹 공격에 대비해 보안을 강화해야 하며 거래소 직원들도 불명확한 이메일을 수신할 경우 함부로 이메일을 열어보거나 첨부파일을 다운로드 해서는 안 된다고 지적하고 있다.

강진규 객원기자  viper@thebchain.co.kr

 

키워드

#암호화폐해킹 #암호화폐갈취 #거래소해킹 #암호화폐거래소해킹
저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지