[가상화폐 공격] ①'PC 속 지갑까지 노린다'…전방위 확산
오프라인 지갑 노린 악성코드 등장…채굴용 좀비 PC 양산
랜섬웨어 해커도 비트코인용 악성코드 유포
(서울=연합뉴스) 고현실 기자 = # 가상화폐 관련 커뮤니티에서 활동하는 A씨는 최근 이력서가 첨부된 이메일을 받았다. '입사 지원하려고 한다'는 내용과 함께 발송인 명의의 한글 파일(.hwp) 문서가 첨부돼 있었다.
파일을 실행하니 일반적인 이력서 양식이 화면에 떴다. 별 의심 없이 창을 닫았지만, 이미 A씨의 컴퓨터는 악성코드에 감염된 후였다. 해커가 커뮤니티와 소셜 미디어에서 수집한 A씨의 이메일 주소로 스피어피싱(특정 타깃을 노린 맞춤형 공격) 메일을 보낸 것이다.
A씨의 사례는 빙산의 일각에 불과하다.
가상화폐 시장이 과열되면서 해커들의 공격도 집중되고 있다. 정부 대책과 투자자의 움직임에 맞춰 공격 방식 역시 다양해지는 양상이다.
15일 하우리와 이스트시큐리티 등 보안업계에 따르면 정부의 가상화폐 긴급 대책이 발표된 지난 13일 오프라인 가상화폐 지갑(계좌)을 노린 악성코드가 발견됐다.
비트코인 등 가상화폐 이용자들은 거래소의 온라인 지갑에 코인을 보관하는데 최근 일주일 새 정부의 거래소 규제 가능성이 불거지며 개인 PC의 오프라인 지갑으로 옮기는 경우가 많았다. 해커들이 이를 노려 오프라인 지갑까지 먹잇감으로 삼은 셈이다.
하우리 최상명 실장은 "정부 규제가 본격 시행되기 전 혼란을 틈타 해커들이 공격을 시도하고 있다"며 "오프라인 지갑도 인터넷만 연결돼 있으면 해킹당할 수 있어 거래를 안 할 때는 인터넷 연결을 해제하는 등 주의해야 한다"고 말했다.
개인 PC를 조종해 비트코인 채굴에 이용하려는 악성코드도 기승을 부리고 있다. 채굴용 악성코드는 이용자의 PC를 잠식, 연산 작업을 통해 가상화폐를 취득하는 채굴 활동을 벌인다.
최근에는 이력서로 위장한 악성메일이 무차별로 유포되고 있다.
공격자는 구글 등 포털 사이트에서 기업의 채용 공고를 검색해 담당자에게 메일로 악성코드가 담긴 가짜 이력서 파일을 보낸 것으로 추정된다. 실행 후 다운로드되는 추가 파일에는 가상화폐 채굴 기능이 있는 파일(minerd.exe)이 포함됐다.
전날에는 한국인터넷진흥원(KISA)을 사칭한 메일이 국내 가상화폐 거래소 직원들에게 발송되기도 했다. 해당 메일은 거래소 보안점검 협조를 요청하는 내용의 PDF 공문과 한글문서를 첨부해 열람을 유도했다. 첨부 파일을 열면 해커에게 이용자 정보가 넘어가는 방식이다.
랜섬웨어 제작자들도 채굴용 악성코드로 눈을 돌리고 있다.
올해 국내에서 기승을 부린 비너스로커(VenusLocker) 랜섬웨어 제작자는 최근 지인을 가장한 메일이나 구직 메일을 통해 채굴용 악성코드를 유포 중인 것으로 파악된다. 그동안 암호화한 파일을 푸는 대가로 비트코인을 받는 데서 나아가 아예 직접 비트코인 채굴에 나선 것이다.
이밖에 비트코인 지갑 주소를 해커의 지갑 주소로 바꿔치기하거나 가짜 사이트를 만들어 이용자의 개인정보를 빼돌리는 사례들도 확인됐다.
최근에는 국내 3위 거래소 코빗을 사칭한 피싱 사이트가 발견돼 불법 인출 피해가 잇따르자 코빗 측이 신규 주소로 출금하려고 할 때는 3시간 후에나 출금이 가능하도록 하는 정책을 도입하기도 했다.
okko@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
뉴스