해커들이 국내 암호화폐 거래소의 실제 공지사항을 교묘하게 이용해 맞춤형 공격을 시도하고 있는 것으로 알려졌다. 이는 해커들이 암호화폐 거래소의 행보를 모니터링하고 있다는 뜻으로 앞으로 유사한 공격이 늘어날 것으로 우려된다.

31일 보안업계와 암호화폐 거래소들에 따르면 최근 고팍스와 업비트를 사칭한 악성코드 이메일 두 사례 모두 실제 공지내용을 교모히 위조한 것으로 확인됐다.

고팍스는 지난 5월 20일 “‘GOPAX 휴먼스케이프(HUM) 상장 이벤트 경품 수령을 위한 제세공과금 납부 처리 정보 안내’라는 제목의 이메일을 수신한 고객들에게 주의를 당부한다”고 밝혔다.

회사 측에 따르면 5월 20일에 발송된 해당 이메일이 고팍스의 이벤트 안내메일인 event@gopax.co.kr 주소로 발송된 것으로 보이지만 고팍스는 이 같은 메일을 발송한 내역이 없다는 것이다. 고팍스는 “고팍스를 사칭한 이메일로 추정되며 회신으로 신상정보, 신분증 등의 개인정보를 제공하할 개인정보 유출로 인한 피해를 입으실 수 있다"며 유의를 당부했다.

고팍스는 실제로 휴먼스케이프(HUM) 상장 이벤트를 진행, 4월 25일 공지사항을 통해 이벤트 결과를 발표하고 수상자 중 제세공과금을 부담자에게는 정보 제출 안내메일이 별도로 발송된다고 고지했다.

해커들은 이같은 공지 내용을 참조해 5월 20일 맞춤형 악성코드 이메일을 만들어 발송한 것이다.

최근 알려진 업비트 사칭 이메일 공격도 이와 유사한 것으로 알려졌다. 5월 28일 업비트도 “업비트 이메일 주소를 사칭(event@upbit.co.kr)해 ‘[안내] 업비트 이벤트 경품 수령을 위한 제세공과금 납부 처리 정보 안내’라는 제목으로 악성 파일의 다운로드를 유도하는 메일에 대한 제보가 이어지고 있다”며 열람시 주의를 당부했다.

해당 이메일을 분석한 이스트시큐리티 시큐리티대응센터(ESRC)는 업비트를 사칭한 공격의 기법이 북한 해커 조직으로 추정되는 김수키(Kimsuky) 조직의 것과 일치한다고 밝혔다.

이 공격 역시 실제 업비트가 5월 23일 업비트가 공지한 보디엑스(VDX) 코인이 추가를 참고한 것으로 보인다. 28일 해커들은 업비트를 사칭해 '업비트 보디엑스(VDX) 상장 이벤트 경품 수령을 위한 제세공과금'이란 제목의 메일을 뿌렸다. 23일 실제 공지를 본 업비트 사용자 입장에서는 사칭 메일을 믿게 되는 것.

두 공격은 실제 공지사항을 활용했다는 점에서 같은 조직의 소행인 것으로 추정된다. 해커들이 암호화폐 거래소 공지사항을 유심히 살펴보고 그것으로 맞춤형 공격을 하고 있는 것이다. 

이같은 교묘한 공격은 다른 암호화폐 거래소를 대상으로도 나타날 수 있다는 지적이다. 코인원은 5월 30일 고객들에게 이메일을 보내 “최근 거래소를 사칭해 '[안내] (거래소명) (코인) 상장 이벤트 경품 수령을 위한 제세공과금 납부 처리 정보 안내' 제목의 악성코드가 담긴 이메일을 발송하는 공격이 진행 중이므로 세심한 주의가 필요하다"고 경고했다.

전문가들은 암호화폐 거래소 이벤트 공지를 보고 그 이벤트 결과를 알려준다며 가짜 메일을 보내거나 거래소 점검 공지를 본 후 점검에 필요한 내용이라며 해킹을 시도하는 등의 사례가 계속 나올 수 있다고 우려했다. 

강진규 기자  viper@thebchain.co.kr