가상자산 분야 투자자를 대상으로 한 북한의 사이버공격이 발견돼 주의가 요구된다.
17일 이스트시큐리티에 따르면 지난해 연말부터 올해 초에 걸쳐 국세청을 사칭한 메일을 통한 해킹 공격이 발생했다.
메일은 발신자를 ‘국세청’으로 설정하고, 주소로 진짜처럼 보이게 정교하게 조작 후 북한 인권 관련 유공자 포상 대상에 포함됐다는 안내를 배포했다.
수신자도 실제 북한 인권 개선 관련 활동을 했거나 연관 정보를 가진 이들이 포함된 것으로 전해진다.
특히 국세청 세무조사 출석 요구를 사칭한 이메일은 비트코인 등 가상 자산 투자자에게 집중된 공통점이 발견됐다.
제목 역시 해킹임을 눈치채지 못하게 ‘[국세청] 세무조사 출석요구 안내통지문’이라고 설정돼 수신자들을 완벽히 속였다.
메일에는 ‘세무조사 신고서류안내.pdf’ 문서 파일이 첨부됐는데, 이를 클릭하면 파일은 다운로드되지 않고 국내의 특정 경제문화교류협회 사이트와 통신한 후 네이버 계정 피싱용 서버로 연결해 계정 탈취를 시도한다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 해킹 경유지로 사용된 공격자 서버에는 특정인의 주민등록증, 운전면허증, 사업자등록증 등도 함께 발견됐다.
이에 ESRC는 가상자산 투자자 일부가 피싱공격을 입은 후 이메일에 저장된 개인정보가 추가 유출됐을 가능성에 무게를 두고 후속 분석 작업을 진행 중이다.
또 ESRC는 국세청을 사칭한 해킹 메일과 공격에 악용된 서버를 분석한 결과 일부 도메인이 북한 연계 해킹 그룹과 연관이 있다는 것을 파악했다.
공격에 악용된 서버는 일정 아이피 주소로 연결된다. 이 주소는 지난해 4월쯤 사용 이력이 있었고, 함께 분류된 다수의 도메인은 당시 북한 연계 해킹그룹인 ‘탈륨’과 ‘김수키’에서 사용한 것으로 보고된 바 있다.
이에 이스트시큐리티는 “확인된 피해 대상자가 주로 비트코인 등 가상자산 분야 투자자라는 공통점이 발견되고 있어 외화벌이 목적으로 진행된 북한 배후 사이버공격으로 추정된다”고 전했다.
그러면서 “이들 악성 파일 탐지 기능을 자사의 알약 제품에 긴급 업데이트하고 피해 확산 방지를 위해 국가사이버안보협력센터(NCCC), 한국인터넷진흥원(KISA) 등과 긴밀히 협력하고 있다”고 덧붙였다.