암호화폐 관계자 '공문서 사칭 악성문서 공격 주의'

글자 작게 글자 크게 인쇄하기

금감원 등 공문서를 사칭해 암호화폐 관계자를 노린 스피어 피싱이 극성이다.

이스트시큐리티(대표 정상원)는 암호화폐 관계자를 노린 지능형지속위협(APT) 공격을 경고했다.

공격자는 '유사수신행위 법률 위반 통지문' 등 금융감독원이 발송한 것처럼 보이는 내용으로 암호화폐 관계자에게 악성 이메일을 배포했다.

금융감독원 유사수신행위 위반통보로 위장한 문서화면(자료:이스트시큐리티)
<금융감독원 유사수신행위 위반통보로 위장한 문서화면(자료:이스트시큐리티)>

이스트시큐리티 시큐리티대응센터(ESRC) 분석 결과 악성 문서파일은 8월 6일 오전 11시 31분경에 제작됐다. 문서 내용에 고발인과 피고발인 등 특정인 신상 정보와 관계 내용을 구체적으로 기재했다. 피해자가 신뢰하도록 정교하게 만들었다.

이번 공격은 지난해 6월 발생한 것과 비슷한 사례다. 당시 공격에 사용한 악성문서는 2014년 소니픽처스 내부 공격에 쓰인 것과 동일한 구조를 가진다. ESRC는 2009년부터 특정 정부 지원을 받는 해커 조직이 사용하는 APT 공격 시리즈와 코드 유사성이 높다고 분석했다.

이스트시큐리티는 한국인터넷진흥원(KISA)와 협력해 해당 악성 프로그램 명령제어서버(C2) 정보를 공유하고 국내 접속을 차단했다.

문종현 ESRC 이사는 “한국 암호화폐 거래 관계자를 겨냥한 스피어 피싱이 지속해 포착된다”면서 “금감원 등 공문서 사칭에서 암호화폐 지갑 개발자나 관련 콘퍼런스 내용 등 다양하다”고 말했다.

이스트시큐리티는 정부 지원을 받는 특정 위협 그룹을 추적한다. 하반기 '쓰렛인사이드(Threat Inside)' 위협 인텔리전스 서비스를 선보인다. 이번 공격에 사용된 악성코드는 알약에서 진단 후 치료한다.

김인순 보안 전문기자 insoon@etnews.com