#회사원 A씨. 검색 엔진에서 가상화폐거래소 코빗을 찾아 접속했다. 검색 맨 위에 나오는 링크였기에 아무런 의심 없이 클릭해서 로그인을 하고 가상화폐를 조회한 후 로그아웃을 했다. 5분이 채 안 되는 시간에 갑자기 계좌에 들어 있던 수천만원어치의 가상화폐가 다른 곳으로 빠져나갔다.
가상화폐 가격이 연일 치솟으면서 이를 노린 사이버 공격이 기승을 부리고 있다. ID, 비밀번호, 일회용비밀번호(OTP)를 훔치려는 가짜 사이트(피싱)가 판치고 있는 것이다. 해커는 가짜 사이트를 개설해서 정보를 탈취한 후 이 정보를 진짜 거래소에 입력한 뒤 돈을 빼내가는 수법을 구사한다. 가상화폐 부정 인출 사고가 끊이지 않고 발생하고 있지만 피해자 구제책은 모호한 실정이다.
최근 코빗으로 위장한 피싱 사이트가 기승을 부리고 있다. 'korbit.site' 'korbit.top' 'korbit.ltd' 등이 코빗을 사칭한 웹사이트다. 코빗 공식 웹사이트 korbit.co.kr의 주소 뒷부분을 바꾼 유사 사이트들이다. 웹사이트 디자인은 육안으로 구별하기 어려울 정도로 똑같다. 검색 엔진에는 파워 링크로 올라가 있어서 속기 쉬울 정도로 사용자들을 유혹하고 있다.
해커는 피싱 사이트를 개설해서 접속하는 사람들의 정보를 모은다. 최근 사례를 보면 사용자들은 거의 실시간으로 가짜 사이트에 로그인, OTP 정보를 이용한다. 해커는 해당 정보로 OTP 인증이나 개인 정보를 재설정한다. 이 때문에 출금 문자나 이메일이 유출되고 있다.
피해자 A씨는 “코빗 거래소는 피싱 사이트가 난립하고 있다는 내용의 이메일만 보내고 책임을 다했다는 입장”이라면서 “여러 번에 걸쳐 인출이 발생했는데도 즉각즉각 문자나 메일로 안내문을 보내오지 않았다”고 주장했다. A씨는 “수천만원에 이르는 부정 인출이 발생했지만 지연 이체조차도 이뤄지지 않았다”고 덧붙였다. 가상화폐거래소는 이상거래탐지시스템(FDS) 등을 도입한 금융기관보다 보안 수준이 낮다. 피싱 등으로 정보가 유출되면 거래소에서 피해를 막을 장치나 제도가 허술한 실정이다.
코빗 관계자는 “피싱 사이트로 부정 인출 피해가 발생한 일부 사례가 있은 것은 사실”이라면서 “그러나 코빗은 피싱 사이트와 관련된 문제에 과실이 없다”고 밝혔다. 이 관계자는 “피해 사례를 접수하고 있다”면서 “피해 규모 등 윤곽은 수사를 해봐야 드러날 것”이라고 설명했다.
코빗은 사건 인지 후 한국인터넷진흥원(KISA)와 구글에 신고했다고 밝혔다. 이후 고객에 이메일을 보내 스스로 계좌를 동결해 피해를 막게 조치했다. 마지막 접속국가와 다른 경우 가상화폐를 출금하지 못하게 했다. 신규 가상화폐 주소로 출금할 경우 지연 정책을 시행했다.
가상화폐를 노린 해커들의 공격은 계속될 것으로 보인다. 가격이 치솟으면서 계속 돈이 몰리고 있기 때문이다. 해커에게 익명성을 보장하는 것도 피싱 사이트 창궐의 요인으로 지적되고 있다. 안창용 안랩 선임연구원은 “사이버 범죄자가 가격이 치솟는 가상화폐를 노리고 보유자 대상의 피싱 공격을 늘렸다”면서 “거래소 직원을 대상으로 한 표적 공격도 늘었다”고 말했다.
가상화폐 보유자가 많이 방문할 만한 사이트를 해킹해서 악성코드를 심은 뒤 감염시키는 수법이다. 가상화폐 거래소는 공공기관이나 구직자가 발신한 이메일에도 주의해야 한다. 최근 해커는 금융감독원이나 국세청 등 공공기관으로 위장해서 악성코드가 담긴 이메일을 발송하는 등 거래소 해킹에 적극성을 보이고 있다. 거래소 인사 담당자에게 악성코드를 숨긴 이력서를 발송한 사례도 발견됐다.
김인순 보안 전문기자 insoon@etnews.com
