[디지털데일리 홍하나기자] 비트코인 시세가 1300만원을 돌파하면서 암호화폐가 급등세를 보이고 있다. 동시에 암호화폐 시세 상승을 이용한 해커들의 사이버 공격이 활개를 치기 시작했다.

28일 이스트시큐리티 대응센터에 따르면 최근 암호화폐 토큰세일 이벤트 당첨자 안내로 위장한 지능형지속위협(APT) 공격이 포착됐다. 보안업계에서는 이번 공격의 배후로 북한 해커 일당인 ‘김수키 조직’을 지목했다.

이번 공격은 ‘암호화폐 엘리시안 토큰세일 이벤트’라는 명목으로 이뤄졌다. 해커들은 암호화폐 거래소 회원들에게 이메일을 통해 이벤트에 당첨됐다며, 물량 지급과 관련해 이름 및 주민등록번호, 이메일을 요구했다.

이메일에는 ‘이벤트 당첨자 개인정보 수집 및 이용 동의 안내서’라는 제목의 한글파일도 첨부됐다. 메일 내용에는 “개인정보 수집 및 이용 동의 안내서는 반드시 인쇄한 후 자필로 작성해달라”는 요구와 함께 문서의 비밀번호도 함께 기재됐다.

만약 비밀번호를 입력할 경우, 문서 파일이 열리면서 악성 스크립트가 작동된다. 이스트시큐리티 측은 “공격 방식이 과거 김수키 조직에서 실행한 방법과 동일하다”고 설명하며, 이번 공격의 배후로 특정 국가의 지원을 받는 김수키 조직을 지목했다.

앞서 지난 5월 말, 김수키 조직은 국내 유명 암호화폐 거래소의 이벤트 경품 수령 안내로 사칭한 APT 공격을 진행했다. 당시에도 비트코인 시세가 급등하며 약 1000만원을 돌파한 상황이었다.

이번 공격방식도 이 때와 유사하다. 해커가 거래소 회원들에게 보낸 이메일 제목은 ‘이벤트 당첨자 개인정보 수집 및 이용 동의 안내서’라는 제목으로, 한글파일이 함께 첨부됐다.

한글파일을 실행할 경우, PC가 취약점에 감염된다. 해커는 감염된 컴퓨터의 정보를 자신이 만든 서버로 전송한다. 이후 추가 명령을 통해 지속적으로 키로깅, 브라우저 정보 등 각종 정보를 탈취한다.

문종현 이스트시큐리티 이사는 “취약점에 감염된 PC를 통해 해커는 암호화폐 거래내용도 수집할 수 있다”며 “이번 공격은 금전갈취를 목표로, 사전 정보를 얻기 위한 1차 사이버 공격의 일환”이라고 설명했다.

최근 암호화폐 관련 사이버 공격은 급증하고 있다. 대표 암호화폐인 비트코인의 시세가 오르면서 해커들의 관심이 쏠리게 된 것이다.

문종현 이사는 “실제로 이번 달 초부터 암호화폐 관련 사이버 공격이 증가하고 있다”며 “암호화폐 시세가 급등하고 있는 추세와도 관련이 있다”고 분석했다.

아울러 문 이사는 거래소 공격도 진행되고 있을 것이라고 추측했다. 다만 정황상 보안이 잘 갖춰진 대형 거래소보다 중소형 거래소를 대상으로 사이버 공격이 이뤄질 것이라고 봤다.

문 이사는 “김수키 조직은 이메일에 한글파일을 첨부하는 방식으로 공격을 진행하고 있다”며 “사용자들은 정품이 아니더라도 한글파일의 업데이트를 지속적으로 해야 하며, 보안 솔루션도 꾸준히 업데이트를 해야 한다”고 당부했다.

<홍하나 기자>hhn0626@ddaily.co.kr