국회의원실을 사칭한 가상화폐 관련 피싱 이메일이 나타났다. 가상화폐거래소와 이용자를 노린 사이버 공격이다.
하태경 바른정당 의원은 1일 '비트코인 등 암호통화에 대한 국회자료'라는 제목의 이메일이 의원실을 사칭해 유포돼 주의를 당부했다. 의원실은 “해당 메일을 보낸 사실이 없다”면서 “사기 피싱 메일로 해킹 위험이 있으니 파일을 열어보지 말라”고 밝혔다.
공격자는 메일 본문에 “문서는 대외비이므로 유출에 류의하시길 바랍니다”라는 글과 함께 '국회 가상화폐 법안자료.rar'가 첨부했다. 본문 중 '류의'는 '유의'를 북한식으로 표기한 단어다.
하 의원실은 보안 전문가에 의료해 파일 분석 결과, 북한 해커가 주로 사용해온 알고리즘과 유사하다고 설명했다. 공격은 최근 북한이 자주 사용하는 워드 매크로 수법이 쓰였다.
이메일 첨부 워드 문서를 열어 매크로를 활성화하면 국내 특정 사이트에서 악성코드를 내려 받아 실행한다. 악성코드는 미국에 있는 서버와 통신해 해커 명령을 받는다. 다양한 악의적인 행위를 수행한다. 해당 악성코드는 2016년 대기업 S사와 H사에서 발견된 것과 같은 시리즈다.
하 의원은 “몇 명에게 전달됐는지 알 수 없지만 최소 3만 명으로 추정 된다”면서 “지난 6월에 빗썸 거래소 고객 정보 3만 명이 북한 소행으로 해킹 당했다는 경찰 발표가 있었는데 제보한 사람이 빗썸 회원이었다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com
