작전명 ‘무비코인’…코인거래소 회원 겨냥한 해킹 배후는?

국내 암호화폐 거래소 회원을 대상으로 한 이메일 해킹 공격이 잇따라 발생하고 있다. 그 배후에는 북한 정찰총국과 연계된 것으로 알려진 해킹단체 ‘라자루스(Lazarus)’가 있다는 의견이 나온다.

19일 보안소프트웨어 알약 개발사인 이스트시큐리티의 시큐리티대응센터(ESRC)는 “지난 6월부터 국내에서 지속적으로 발생하는 이메일 해킹 공격이 국내 특정 암호화폐 거래소 회원에게도 시도되고 있는 것을 발견했다”며 “해킹 이메일 기반 APT(지능형지속위협) 공격 캠페인을 분석해 이를 작전명 ‘무비코인’으로 명명하고 있다”고 밝혔다.

해당 해킹 공격은 ▲투자계약서_20190619, ▲(필수)외주직원 신상명세서, ▲에어컨 유지보수 특수조건, ▲시스템 포팅 계약서(수정), ▲현장프로젝트1 결과발표(4조) 등 한국어로 작성된 다양한 이름의 악성 파일을 이메일에 첨부하는 스피어피싱(Spear Phishing) 기법이다. 지난 18일 경찰대학 입시 전문 사이트의 예상 문제자료로 위장한 공격도 이에 해당한다.

이 공격에 사용된 악성 문서파일은 내부에 취약점 코드를 숨기고 있어 구버전 문서 작성 프로그램을 사용할 시 보안 위협에 노출될 수 있다. 악성 코드에 감염될 경우 공격자가 사용자 PC를 원격으로 제어하거나 추가 해킹을 시도할 수 있어 우려를 낳고 있다.

이번 공격의 배후로는 라자루스 조직이 지목됐다. 이 조직은 ▲미국 소니픽쳐스 공격(2014년) ▲방글라데시 중앙은행 해킹(2016년) ▲워너크라이 랜섬웨어 유포(2017년) 등 대규모 보안 사고에 연루된 것으로 알려졌다. 

이 해킹 집단은 2017년 경찰청 사이버안전국이 수사 결과를 발표한 ‘국내 비트코인 거래소 대상 해킹 공격’에도 연관돼 있다. 센터는 “APT 공격 유형은 암호화폐 거래자를 겨냥해 은밀하게 악성 행위를 진행한다”며 “현재 사용 중인 한컴 오피스 제품군을 최신 버전으로 업데이트하면 취약점을 예방할 수 있다”고 덧붙였다.

썸네일 출처 : 셔터스톡