경찰청 사이버안전국에서는 국내 비트코인 거래소들을 대상으로 해킹을 시도한 사건을 수사한 결과, 북한 소행임을 확인하였다.
2017. 7. 5.~8. 8. 국내 비트코인 거래소 4개 업체 직원 등 25명에게, 금융기관․국가기관 등을 사칭하며 악성프로그램이 첨부된 전자우편을 10회 발송하여 해킹을 시도하였으나, 실제 비트코인이 탈취당한 사례는 없는 것으로 확인하였다.
경찰, 검찰, 금융보안원, 서울시청, 농협 등을 사칭하여 악성프로그램이 첨부된 메일 발송하였다. 본 건 악성메일에 의해 감염된 비트코인거래소 PC는 현재까지 없는 것으로 확인되었다.
비트코인 거래소 4개사 대표 계정 혹은 해당업체 직원 등 25명에게 정교하게 제작한 스피어 피싱 전자우편 발송하였다. 비트코인 거래소 직원의 PC를 악성프로그램에 감염시킨 후, 회사 내부망 해킹에 의한 비트코인 탈취 목적으로 판단했다.
악성메일 발송에 이용한 계정 9개 중 4개는 도용된 계정, 5개는 직접 생성한 계정으로 확인되었다. 직접 생성한 계정 5개중 2개는 스마트폰 인증으로 생성, 해당 스마트폰 분석결과 악성 앱에 감염된 상태였다.
악성메일 발송 테스트 목적으로 사용한 전자우편 접속지가 북한으로 확인되었다. 경유서버․명령제어서버에서도 과거 북한발 한수원 해킹사건(2014년)이나 청와대 사칭 전자우편 발송사건(2016년)에서 확인된 것과 동일한 대역의 IP주소를 발견하였고, 한편, 지난 9. 11. 해외 민간 보안업체(파이어아이社)는 북한이 우리나라의 가상화폐 거래소를 대상으로 해킹시도를 한다고 발표한 바 있고, 이를 인용하여 국내외 매체들이 보도했다.
비트코인 거래소 업체들을 대상으로 본 건 공격사례를 알려 피해발생을 예방하는 한편, 스마트폰이 악성 앱에 감염되지 않도록, 모르는 사람으로부터 수신한 메시지 링크 클릭 혹은 출처를 알 수 없는 앱 설치를 지양하는 등 안전한 스마트폰 사용을 당부했다. |