경찰 “과거 북한발 해킹사건 당시 IP주소 발견”

국내 비트코인 거래소들을 대상으로 한 해킹 시도는 북한 소행인 것으로 경찰 수사에서 확인됐다.

경찰청 사이버안전국은 올 7∼8월 국내 비트코인 거래업체 4곳 관계자 25명의 이메일을 상대로 이뤄진 악성코드 공격 사건을 수사한 결과 북한 해커 소행으로 판단된다고 27일 밝혔다.

북한 해커들은 경찰, 검찰, 금융보안원 등을 사칭해 악성코드를 탑재한 메일을 발송, 첨부파일을 열면 악성코드에 감염되도록 한 것으로 드러났다.

경찰 등 수사기관 사칭 메일에는 수사 협조요청 공문과 함께 실존 인물인 수사관 신분증 사본까지 첨부하는 등 정교한 수법을 쓴 것으로 조사됐다.

해커들은 이런 방식으로 비트코인 거래소 직원 등 25명의 PC를 감염시켜 업체 내부망을 해킹, 비트코인을 탈취하려 했던 것으로 경찰은 추정했다.

다만 실제로 악성코드에 감염된 PC는 확인되지 않았고, 비트코인이 탈취당한 사례도 없었다고 경찰은 전했다.

경찰은 실제 협조공문 양식 등이 범행에 쓰인 점으로 미뤄 수사기관 협조 업무를 담당하는 직원 이메일이 사전에 해킹돼 자료가 유출된 것으로 보고 있다.

사칭 이메일 계정은 모두 9개로, 7개는 국내 포털사이트 계정이었고 2개는 외국 계정으로 확인됐다. 해커들은 이 가운데 4개는 아이디와 비밀번호를 확보해 도용했고, 5개는 직접 가입해 사용한 것으로 파악됐다.

직접 가입한 계정 5개 중 2개는 스마트폰 인증 방식으로 생성했다. 해당 스마트폰은 악성코드에 감염된 것으로 확인돼 해커들이 스마트폰으로 수신되는 인증번호를 가로챈 뒤 계정 생성에 사용한 것으로 추정된다.

경찰은 악성메일 발신지 추적 과정에서 과거 한국수력원자력 해킹이나 청와대 사칭 이메일 발송 등 북한발 해킹사건에서 확인된 중국 랴오닝(遼寧)성 대역 인터넷 프로토콜(IP) 주소를 발견해 북한 소행으로 결론내렸다.

아울러 본격 해킹 시도에 앞서 악성메일 시험 발송 목적으로 쓰인 이메일 접속지도 북한으로 확인됐다고 경찰은 설명했다.

경찰 관계자는 “비트코인 거래소 업체들에 이번 사례를 알리는 등 피해 방지에 나서고 있다”며 “스마트폰을 감염시켜 범행에 사용한 점도 확인된 만큼 모르는 사람에게서 수신한 메시지 링크 클릭이나 출처를 알 수 없는 애플리케이션 설치는 하지 말아야 한다”고 당부했다.

연합뉴스