|
경찰청 사이버안전국은 지난 7~8월 국내 비트코인 거래소 4곳에 있는 관계자 25명의 이메일에 금융·국가 기관을 사칭한 악성코드 사건을 수사한 결과 북한 해커 소행으로 확인했다고 27일 밝혔다.
경찰에 따르면 해당 메일은 ‘수사협조 요청’이라는 제목에 “지갑(비트코인이 들어 있는 계좌) 주소 확인 부탁 드립니다”라는 내용과 함께 악성 프로그램을 첨부했다. 메일에는 실존 인물인 수사관 신분증 사본 등을 첨부하며 의심의 눈초리를 피해갔다.
북한 해커들은 해당 메일에 첨부한 악성코드로 업체 내부망을 해킹해 비트코인을 탈취하려 했다. 실제로 악성코드에 감염된 컴퓨터(PC)나 비트코인을 탈취한 사례는 없었다고 경찰은 전했다.
경찰조사 결과 사칭 이메일 계정은 총 9개로 7개는 네이버 등 국내 포털사이트 계정, 2개는 G메일 등 외국 계정이었다. 해커들은 이 가운데 4개는 아이디와 비밀번호를 도용했고 5개는 직접 가입해 사용했다.
경찰 관계자는 “직접 가입한 계정 5개 중 2개는 스마트폰 인증 방식으로 생성했다”며 “해당 스마트폰은 악성코드에 감염돼 해커들이 스마트폰으로 수신하는 인증번호를 가로챈 뒤 계정 생성에 사용한 것으로 보인다”고 설명했다.
경찰은 이번 사건이 2014년 한수원 해킹사건이나 지난해 청와대 사칭 메일 발송사건에서 확인한 것과 같은 중국 프로토콜(IP) 주소를 사용했다고 설명했다. 또 악성 메일을 보내기 전에 테스트 목적으로 발송한 이메일 접속지가 북한으로 확인돼 북측 해커의 소행으로 결론 내렸다.
경찰 관계자는 “비트코인 거래소 업체들에 이번 사례를 알리며 피해 방지에 나서고 있다”며 “스마트폰을 감염시켜 범행에 사용한 점이 확인된 만큼 모르는 사람에게 수신한 메시지 링크를 클릭하거나 출처를 알 수 없는 애플리케이션 설치를 자제해야 한다”고 말했다.