北 비트코인 해킹 시도, 어떻게 확인했나

경찰청, 이메일 접속지-서버 등 근거로 제시

인터넷입력 :2017/09/27 17:10    수정: 2017/09/27 17:17

손경호 기자

최근 비트코인 거래소에 대한 해킹 사건이 끊이지 않는 가운데 북한이 악성메일을 유포해 비트코인을 들고 나가려는 시도를 한 사실이 포착돼 관심을 모으고 있다.

27일 경찰청 사이버안전국은 국내 비트코인 거래소들을 대상으로 한 해킹 시도에 대한 사건을 수사한 결과, 올해 7월5일~8월8일까지 거래소 4개 업체 대표 및 임직원 등 25명을 대상으로 금융기관, 국가기관 등을 사칭해 악성프로그램을 첨부한 악성메일을 10회 가량 발송해 해킹을 시도한 사실을 확인했다고 밝혔다.

경찰은 해당 악성메일에 대한 분석 결과 북한 소행인 것으로 확인했다고 설명했다. 하지만 이번 해킹 시도로 비트코인이 탈취당한 사례는 없었다고 덧붙였다.

"수력원자력 해킹사건 등과 IP 주소 동일"

수사 결과 메일발송 계정 9개 중 4개는 도용된 계정이며 5개는 직접 생성한 계정인 것으로 분석됐다.

직접 생성한 5개 계정은 피해자의 스마트폰에 악성앱을 설치해 직접 인증까지 거쳐 생성된 것으로 드러났다.

경찰은 크게 3가지를 근거로 이 사건을 북한 소행이라고 판단했다. 먼저 악성메일 발송 테스트 목적으로 쓰인 이메일 접속지가 북한이라는 점이다. 두번째로는 경유서버, 명령제어(C&C)서버에서 과거 한국수력원자력 해킹사건, 청와대 사칭 이메일 발송사건에서 확인된 것과 같은 IP주소를 발견했다.

관련기사

이와 함께 미국 보안회사인 파이어아이가 지난 11일 발표한 내용도 근거로 제시했다. 당시 파이어아이는 북한이 국내 암호화폐 거래소를 대상으로 해킹을 시도한다고 발표했다.

경찰청 사이버안전국은 비트코인 거래소 업체들을 대상으로 관련 공격사례를 알리는가 하면 스마트폰이 악성앱에 감염되지 않도록 모르는 사람으로부터 수신한 메시지 링크 클릭 혹은 출처를 알 수 없는 앱 설치를 지양하는 등 안전한 스마트폰 사용을 당부했다.