해커가 아마존웹서비스(AWS) 인터넷 연결을 하이재킹(납치)해 전자지갑서비스 '마이이더월렛닷컴'에서 암호화폐를 빼돌렸다.

레지스터는 25일 해커가 마이이더월렛닷컴과 똑같이 생긴 가짜 웹사이트를 만들어 고객 암호화폐 지갑을 털었다고 보도했다. 고객은 마이이더월렛닷컴으로 로그인한 줄 알았지만 해커가 만든 가짜 사이트로 연결됐다. 고객은 가짜 사이트에서 계정 정보를 털렸다. 해커는 실제 마이이더월렛에서 코인을 다른 지갑으로 인출해 달아났다. 피해금액이 15만달러(약 1억6000만원)에 달하는 것으로 알려졌다.

Photo Image

이번 공격은 BGP(Border Gateway Protocal) 메시지를 위조해 DNS를 하이재킹했다. DNS 하이재킹이란 해커가 DNS 서버를 공격해 특정 도메인에 연결되는 IP 주소를 다른 주소로 변경하는 수법이다. 이용자가 특정 웹사이트 접속 요청시 가짜 주소로 연결한다.

마이이더월렛닷컴은 AWS DNS 서비스를 거친다. 공격자는 오전 11시부터 1시 사이 인터넷 코어 라우터에 BGP 메시지를 보냈다. 1300개 AWS 소유 IP주소가 BGP 간섭으로 도용됐다.

BGP는 인터넷 핵심 요소다. 인터넷 코어에 있는 라우팅 장비는 활성 경로 테이블을 유지하기 위해 BGP 메시지를 교환한다. 적절한 네트워크와 물리 링크를 통해 패킷이 올바른 인터넷주소에 도달하게 돕는다. 공격자는 마이이더월렛닷컴으로 연결되는 AWS IP주소 중 일부를 납치해 자신이 만든 가짜 사이트로 연결했다.

아츠테크니카는 “이런 공격은 수많은 DNS 트래픽을 처리해야 한다”면서 “당장 피해를 입은 마이이더월렛만의 문제가 아니다”고 보도했다. 이어 “AWS 트래픽을 납치할 수 있는 공격자는 더 큰 공격을 감행할 수 있다”고 덧붙였다.

Photo Image
Photo Image

김인순 보안 전문기자 insoon@etnews.com