서울 중구에 위치한 국내 최대 가상화폐거래소 빗썸이 자사가 보유한 가상화폐 350억원어치를 도난당했다고 20일 밝혔다. /출처=연합뉴스
국내 최대 가상화폐거래소 빗썸 회원을 대상으로 이달 초 악성 이메일이 발송됐던 것으로 나타났다. 보안업계는 전날 늦은 밤부터 오늘 새벽 사이 발생한 350억원 규모의 빗썸 해킹 사고와 이 메일의 연관성에 주목하고 있다.
20일 업계에 따르면 6월 초 빗썸 회원들에게 발송된 이메일에는 해커의 명령제어(C&C) 서버로 연결되는 악성코드가 탑재되어 있었다. 이용자가 메일을 열람하고 해당 코드를 실행하면 해커는 이용자의 정보를 손에 넣을 수 있다.
정확히 밝혀진 바는 없지만, 이 이메일이 거래소를 노린 공격의 시작일 수 있다는 게 보안업계의 분석이다.
한 보안 전문가는 “공격자가 특정 거래소 회원들의 이메일 정보를 갖고 있었다는 점으로 미뤄볼 때 최종 타깃은 거래소였을 것”이라며 “회원이면서 직원인 사람을 노리고 내부 정보를 수집해서 침투를 시도했을 가능성이 있다”고 분석했다.
눈에 띄는 점은 악성 이메일의 명령제어 서버가 최근 제작된 이력서 사칭 악성파일의 통신 서버와도 연결된다는 점이다.
5월 말 제작된 이 악성파일은 주로 이메일을 통해 가상화폐 거래소를 포함한 기업에 유포됐을 것으로 추정되나 실제로 이메일로 발송됐는지는 확인되지 않았다.
이력서 사칭 이메일을 이용한 거래소 공격은 이미 지난해 국내에서 성행한 수법이다.
빗썸 역시 작년 6월에 이력서 사칭 이메일에 당했다. 당시 공격자는 이메일에 첨부한 입사지원서에 악성코드를 숨겨 빗썸 직원의 개인용 컴퓨터를 해킹, 3만6,000여건의 개인정보를 빼돌렸다. 공격 수법으로 미뤄 북한 해커가 배후로 지목됐다.
이후 빗썸은 통합보안 솔루션 ‘안랩 세이프 트랜잭션’을 업계 최초로 도입하며 보안 강화에 나섰지만, 이번에 다시 해커의 제물이 되고 말았다.
이스트시큐리티 문종현 이사는 “보안 솔루션을 무력화했다는 점에서 숙련된 해커일 가능성이 크다”며 “이미 가상화폐 거래소는 해커들의 주요 돈벌이 수단이 됐으며, 다른 거래소에도 유사한 일이 벌어질 수 있다”고 말했다. /홍승희인턴기자 shhs9501@sedaily.com