가상화폐 거래소 직원과 이용자를 노린 피싱(Phishing), 스미싱(Smishing), 스피어피싱(SpearPhishing)이 위험 수위다. 피싱은 이메일로, 스미싱은 문자메시지로 정보를 탈취하는 수법이다. 스피어피싱은 특정인을 목표로 정보를 훔치는 공격이다.
과거 피싱은 주로 인터넷뱅킹 정보 탈취에 집중됐는데 올 들어 가상화폐 거래소 직원이나 계좌 정보 빼돌리기가 극성이다. 비트코인, 리플코인 등 가상화폐가 투기 수단이 되며 가격이 계속 상승한데다 금융권과 달리 낮은 보안 수준으로 공격이 쉬 운 탓이다. 인터넷뱅킹 부정 거래는 대포통장과 인출책이 필요하다. 가상화폐는 비트코인, 리플코인, 이더리움 등 다양한 종류로 세탁이 쉬운데다 인출해도 범인을 잡기 어렵다.
이미 가상화폐는 주식 거래량을 넘어서며 엄청난 경제를 형성했다. 돈이 있는 곳에 해킹이 집중된다. 가상화폐를 노리는 세력은 기존 인터넷뱅킹 피싱을 일삼던 중국 사이버 범죄조직부터 북한으로 추정되는 국가지원 해킹 조직까지 가담했다.
보안업계에 따르면 최근 주요 가상화폐 거래소 피싱 도메인이 대거 등록됐다. 코빗, 빗썸, 코인원 등을 사칭할 목적으로 보인다. 주요 가상화폐 거래소 도메인은 co.kr 끝나는데 or.kr 형태로 등록됐다. 해당 도메인은 모두 미국에서 국내 도메인등록업체를 통해 등록했다. 진짜 거래소가 XXX.co.kr이라면 피싱 사이트는 XXX.or.kr형태다. 진짜 사이트와 똑같이 만들어 구별도 어렵다.
이스트시큐리티에 따르면 최근 특정 가상화폐 거래소 이용자를 대상으로 피싱메일이 다량 배포됐다. 공격자는 국내 유명 비트코인 거래소 중 한 곳을 사칭해 '출금완료 알림' 내용으로 조작한 피싱 메일을 유포했다. 메일 본문에 '새로운 기기에서의 로그인 알림' 내용을 띄웠다.
다른 IP주소에서 수신자 로그인이 발생한 것처럼 보안 안내를 한다. 최근 가상화폐 거래소 해킹이 심해 보안에 신경을 쓰고 있는 대상자 심리를 역으로 이용한 방법이다. 회원이 로그인한 것이 아니라고 의심되면 보안을 위해 계정을 동결하라고 하며 클릭을 강요한다.
해당 URL을 클릭하면 실제와 거의 유사한 가상화폐거래소 화면으로 이동한다. 해당 사이트는 co.kr로 끝나는 정상사이트와 달리 or.kr 도메인을 쓴다. 피싱사이트에 연결하면 이메일과 비밀번호 등 계정 정보 입력을 유도한다. 가상화폐 거래소에 접속하는 ID와 비밀번호를 털린다.
스미싱도 발생했다. C거래소 로그인 알림을 위장했다. 문자로 다른 IP에서 로그인됐다며 가짜 거래소 링크를 보내고 ID와 비밀번호 유출을 시도한다.
가상화폐 거래소 직원을 표적한 스피어피싱도 감지된다. 직원을 해킹하면 기업 내부를 장악할 수 있다. 공격자는 금융감독원, 금융보안원, 국세청, 공정거래위원회 등으로 위장해 금융관련 규제와 위법 내용을 가상화폐 거래소나 블록체인, 핀테크 기업 직원에게 보낸다. 해당 문서를 열면 악성코드가 감염되는 형태다. 개인 PC를 감염시킨 뒤 기업 네트워크로 침입해 고객정보를 유출한다. 이를 이용해 다시 가상화폐 계좌를 해킹하는 것으로 알려졌다.
최상명 하우리 실장은 “돈이 몰린 가상화폐에 세계 해커가 몰려들었다”면서 “의심스러운 메일이나 문자 내 URL을 클릭하지 않아야 한다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com
