UPDATED   2019. 12. 12(목) 17:45
페이지상단으로이동

국내 암호화폐 거래소 회원 해킹…배후는 북한?

    • 김수찬 기자
    • |
    • 입력 2019-07-19 16:57
▲ 사진출처=이스트시큐리티

【한국블록체인뉴스】 북한이 관여된 추정되는 해킹조직이 국내 암호화폐 거래소 회원을 대상으로 해킹 e-메일 공격을 하고 있다는 의혹이 제기됐다.

보안기업 이스트시큐리티의 시큐리티대응센터(ESRC)는 지난달부터 국내 특정 거래소 회원을 대상으로 한 해킹 e-메일 공격 시도가 계속 포착됐다고 19일 밝혔다.

ESRC에 따르면 e-메일 해킹 공격은 지난달부터 지속해서 발생했다. HWP 확장자의 악성 문서 파일을 이용해 모두 같은 취약점을 악용하고 있으며 e-메일로 공격을 수행하는 ‘스피어 피싱(Spear Phishing)’ 해킹 기법이 사용됐다.

최근 공격은 ‘투자계약서_20190619’ ‘(필수)외주직원 신상명세서’ ‘에어컨 유지보수 특수조건’ ‘시스템 포팅 계약서(수정)’ ‘현장프로젝트1 결과발표(4조)’ 등 한국어로 작성된 다양한 이름의 악성 파일을 첨부하고 있다.

문서 파일 내부에 숨겨진 악성 코드에 감염되면 공격자가 지정한 특정 명령 제어(C2) 서버와 은밀한 통신으로 공격자가 사용자 PC를 원격 제어할 수 있다. 추가 해킹 시도도 할 수 있다.

지난 18일에는 경찰대학 입시 전문 사이트의 예상 문제 자료로 위장한 공격이 발견됐다.

ESRC는 이번 공격의 배후에 일명 ‘라자루스(Lazarus)’ 조직이 있는 것으로 보고 있다.

라자루스는 북한과 연계된 것으로 의심받는 해커 조직으로 ▲7.7 DDoS 공격(2009년) ▲미국 소니픽처스 공격(2014년) ▲방글라데시 중앙은행 해킹(2016년) ▲워너크라이 랜섬웨어 유포(2017년) 등의 보안 사고에 연루된 것으로 알려졌다.

이스트시큐리티는 “사용 중인 한컴 오피스 제품군을 최신 버전으로 업데이트하면 이와 유사한 취약점을 사전에 충분히 예방할 수 있다”며 “알약으로 해당 악성 문서 파일과 연관 악성코드를 탐지하고 있다”고 전했다.

김수찬 기자 [email protected]

김수찬 기자 | [email protected]

닫기