암호화폐 가격 꿈틀...사이버 공격 집중

암호화폐 가격이 상승하면서 이를 노린 사이버 공격도 꿈틀댄다. 암호화폐는 지난해 말 열풍이 불다가 정부 규제가 시작되며 가격이 하락했다. 최근 비트코인이 1000만원을 넘으며 상승세로 돌아섰다.

Photo Image

이스트시큐리티 시큐리티대응센터(ESRC)는 국내 암호화폐 거래 관계자 대상으로 한 사이버 공격을 감지했다. 이스트시큐리티는 금성121이라고 명명한 그룹이 2월부터 지금까지 '오퍼레이션 스타크루저'와 '오퍼레이션 배틀크루저' 공격을 감행중이라고 29일 밝혔다. 금성121은 국가 지원 해커로 추정된다. 이들은 해외에서 활동하다 최근 국내 공격에 열을 올린다.

스타크루저 공격은 4월에 발견됐다. 한글(HWP) 문서 파일 취약점을 사용한다. '거래처 원장' 등 한국을 집중 표적한 공격이다. 공격자는 HWP 문서 파일에 악성 스크립트를 삽입했다. 문서 파일이 실행되면 한국 특정 암호화폐 거래와 관련 회사 거래처 원장이 보인다. 거래소 등 직원 감염을 유도해 암호화폐를 빼돌리는 것으로 추정된다.

Photo Image
스타크루저 공격에 쓰인 한글 파일. (자료:이스트시큐리티)

금성121는 2월엔 '배틀크루저' 공격을 수행했다. 스타크루저와 배틀크루저는 활용된 인프라나 수법이 유사하다. 배틀크루저 역시 한글 문서 취약점을 활용해 특정 이용자에게 스피어 피싱 공격을 한다.

배틀크루저 공격은 2월 24일 해외에서 발견된 악성파일과 유사도가 높다. 터키 금융기관 대상으로 수행한 공격이다. 당시 공격자는 마이크로소프트 오피스 문서를 이용해 어도비 플래시 취약점을 썼다. 금성121 그룹이 해외와 국내를 가리지 않고 공격을 수행 중인 정황이다.

이스트시큐리티는 스타크루저와 배틀크루저가 2014년 11월 24일 수행된 미국 소니픽처스 공격 침해지표와 높은 유사성을 보인다고 분석했다. 미국 정부와 보안 기업은 소니픽처스 공격은 북한이 지원하는 '라자루스'에 의해 감행됐다고 본다.

이스트시큐리티는 공격자가 새로운 명령제어(C&C) 서버를 구축하고 추가 공격에 시간과 노력을 기울이고 있다고 파악했다. 이스트시큐리티는 “이 그룹은 공급망 공격과 스피어 피싱, 워터링 홀 등을 주로 쓴다”면서 “제로데이 취약점을 찾아내는 정도로 고도화된 조직”이라고 밝혔다. 이어 “공격자가 쓴 한글 취약점은 이미 보안 업데이트가 나왔다”면서 “한글 보안 패치만 해도 피해를 줄일 수 있다”고 덧붙였다.


김인순 보안 전문기자 insoon@etnews.com


브랜드 뉴스룸