금감원 공문서 사칭…암호화폐 거래소 노린 표적 공격 발견

[아이뉴스24 성지은 기자] 금융감독원 공문서를 사칭해 암호화폐 거래소를 겨냥한 사이버 공격이 포착됐다.

보안기업 이스트시큐리티는 국내 암호화폐 거래소 관계자를 노리고 금감원 명의를 사칭해 지능형지속위협(APT) 공격을 가하는 정황이 잇따라 발견되고 있다고 8일 밝혔다.

해커는 거래소 관계자가 첨부 파일을 열람하도록 유도하기 위해 '유사수신행위 법률 위반 통지문' 등의 제목으로 금감원이 보내는 것처럼 메일을 발송했다.

악성 문서파일은 지난 6일 오전 11시 31분경에 제작됐다. 문서 내용에 고발인과 피고발인 등 특정인의 신상정보와 관계에 관한 내용을 구체적으로 기재해 공격 대상자가 믿도록 정교하게 꾸몄다.

사용자가 문서를 열람하면 미국 소재 특정 호스트로 접속을 시도하며, 어도비 플래시(SWF) 파일로 위장한 악성 파일을 사용자 PC에 설치한다. 이후 해커가 추가 명령을 수행한다.

회사 측에 따르면 이번 공격 방식은 지난해 6월경 비슷한 사례가 보고된 바 있다. 당시 설치된 악성파일은 2014년 미국에서 발생한 소니 픽처스 내부 공격에 사용된 악성코드 계열과 동일한 코드구조를 갖고 있다. 소니 픽처스 공격은 북한 연계 해킹 그룹으로 추정되는 라자루스(Lazarus)가 배후로 지목된 사건이다.

해당 악성 프로그램의 명령제어서버(C2)는 한국인터넷진흥원과 협력해 국내에서 접속할 수 없도록 차단한 상태다.

문종현 이스트시큐리티 이사는 "최근까지도 국내 암호화폐 거래 관계자를 겨냥한 맞춤형 공격 정황이 지속적으로 포착되고 있다"며 "금감원 등 공문서 사칭뿐만 아니라 암호화폐 지갑 개발자나 금융 관련 콘퍼런스 문서 내용까지 폭넓게 악용되는 만큼 세심한 관심과 주의가 필요하다"고 당부했다.

또한 "이번 공격은 기존에 특정 국가가 배후에 있는 것으로 알려진 정부 기반 위협그룹의 공격 기법과 유사도가 높다"며 "민관이 협력해 위협 인텔리전스 보안강화에 힘써야 할 시기"라고 강조했다.