"암호화폐거래소, 작년 8천717억원어치 도둑맞아"

SK인포섹 EQST그룹 전망 "올해 거래소 해킹공격 지속"

컴퓨팅입력 :2019/01/17 11:12    수정: 2019/01/17 17:22

지난해 한국, 일본, 이탈리아 지역 암호화폐거래소 5곳에서 8천717억원어치 암호화폐가 도난당한 것으로 나타났다. 거래소 운영시스템을 노린 해킹 공격 피해였다. 신원을 감춘 채 거래·현금화 가능한 암호화폐를 취득하려는 사이버범죄자들에게 거래소의 '핫월렛'이 매력적인 표적이었다.

2018년 세계 암호화폐거래소 대상 해킹 공격 7건 중 5건으로 8천717억원어치 암호화폐 도난(부정인출)이 발생했다. SK인포섹 2019 보안위협전망 보고서에 담긴 내용이다. 거래소 암호화폐를 부정인출한 공격자는 악성이메일이나 원격관리프로그램 취약점을 노렸다. [사진=Pixabay]

암호화폐거래소 도난사건은 정보보호·보안관제 전문업체 SK인포섹이 공개한 '2019 보안 위협 전망 보고서'의 첫 대목이다. 지난달 공개된 보고서에 SK인포섹 사이버위협 분석 및 연구 전문가 조직 '이큐스트(EQST)'의 2018년 주요 위협 활동 분석과 2019년 전망이 담겼다.

시시각각으로 가치가 달라지는 암호화폐 특성을 감안하더라도 세계 거래소에서 1년만에 실제 9천억원 가까이 금전적 피해가 발생했다는 내용은 상당히 눈길을 끈다. 앞서 지난해 10월 한 미국 보안업체도 2018년 거래소 해킹 피해가 1조원에 달할 거란 추정을 내놓은 바 있다.

올해에도 거래소 대상 공격이 지속되리라는 게 전문가 관측이다. 지난해 하반기, 특히 연말께 환전을 통한 암호화폐의 현금가치가 많이 떨어지긴 했지만, 그럼에도 거래소를 노린 해킹 위협은 여전할 거란 전망이다. [관련기사 ☞비트코인 가격 또 폭락…3500달러도 붕괴]

■ 8천717억원 중 한국 피해만 589억원

보고서는 5대 보안 위협 전망 가운데 첫 대목으로 '암호화폐를 노리는 3대 공격 키워드'를 제시했다. 암호화폐거래소 해킹 공격이 그 중 하나였다. SK인포섹 전문가들은 보고서에 2018년 한해 동안 전세계 암호화폐거래소를 대상으로 한 해킹 공격이 7건 발생했다고 지적했다.

거래소 해킹 공격 7건 가운데 실제 암호화폐 도난 피해로 이어진 사례가 5건이었다. 일본 '코인체크'에서 5천659억원어치, 이탈리아 '비트그레일'에서 1천800억원어치, 한국 '코인레일'에서 400억원어치, 또 '빗썸'에서 189억원어치, 일본 '자이프'에서 669억원어치를 도둑맞았다.

2018년 암호화폐거래소 해킹사고에 따른 암호화폐 도난사건 시기와 피해규모. [자료=SK인포섹 이큐스트그룹 2019 보안위협전망보고서]

암호화폐 도난사건 5건 중 피해규모 589억원에 해당하는 2건이 한국에서 발생했다. 거래소 해킹에 따른 암호화폐 도난사건은 수년간 벌어진 일이다. 국내 누적피해 금액이 1천억원을 넘어섰다는 주장도 있다. [관련기사 ☞"3년간 암호화폐 거래소 해킹 피해 1139억원"]

보고서에 8천717억원으로 제시된 피해 금액도 작지 않은 수지만, 지난해 10월 '사이퍼트레이스'라는 미국 보안업체가 제시한 것보단 덜하다. 세계 거래소의 암호화폐 도난 피해 누적 금액을 당시 기준 '9억2천700만달러(약 1조388억원)'로, 연말까지 '10억달러'로 추정했다.

■ "거래소 해킹 표적은 서버망 핫월렛"

SK인포섹 전문가의 분석에 따르면 해커들은 암호화폐거래소 '핫월렛'이 보관하는 암호화폐를 노렸다. 핫월렛은 거래소 서버망에서 운영된다. 해커는 서버망의 핫월렛에 접근하기 위해 거래소의 서버망 또는 내부망에 거점을 확보하기 위해 주로 두 가지 공격 경로를 이용했다.

하나는 악성코드 첨부 이메일을 내부망 담당자PC를 감염시키거나 원격프로그램 취약점을 이용해 내부망에 거점을 확보하는 방법이다. 다른 하나는 외부에 개방된 거래소 애플리케이션이나 관리서버 취약점을 악용해 그 권한을 탈취함으로써 서버망에 거점을 두는 방법이다.

암호화폐거래소 해킹사건을 통해 파악된 공격자의 침입시나리오와 기법. [자료=SK인포섹 이큐스트그룹 2019 보안위협전망보고서]

해커는 담당자PC나 서버망의 운영서버에 악성코드를 설치해 거점을 삼고, 서버망에서 핫월렛의 암호화폐 입출금을 처리하는 '코인서버' 권한을 탈취했다. 암호화폐, 핫월렛의 주소, 키스토어 정보를 얻는다. 거래이력을 추적할 수 없는 제3의 거래소, 환전소를 거쳐 현금화했다.

SK인포섹 보안전문가들은 보고서를 통해 해커들이 "보다 많은 금액을 한 번에 획득하기 위해 암호화폐 거래소에 대한 공격을 멈추지 않을 것"이라며 "지능적 지속 위협(APT) 공격을 통해 '코인서버'에 접근해 암호화폐를 탈취할 것으로 예상한다"고 밝혔다.

■ "거래소 공격 외에 랜섬웨어·채굴 악성코드도 지속"

보고서는 해커들이 거래소 해킹 외에도 컴퓨터를 감염시켜 직접 암호화폐를 채굴하거나 '랜섬웨어'로 주요 자료를 볼모삼아 암호화폐 입금을 요구하는 양상이 지속될 것이라 봤다. 암호화폐를 노린 해커의 공격에 거래소뿐아니라 개인과 일반 기업도 대비해야 하는 이유다.

타인이나 기업의 컴퓨터를 감염시켜 암호화폐를 채굴하는 악성코드를 '코인 마이너Coin Miner)'라고 부른다. 권한이 없는 시스템의 자원을 악용하는 범죄다. 코인 마이너는 PC와 서버뿐아니라 사물인터넷(IoT) 기기를 표적 삼기도 한다. 취약점과 결합해 진화할 전망이다.

도식화한 코인마이너 공격 수법 중 하나. 암호화폐거래소뿐아니라 취약점을 통해 남의 시스템을 감염시켜 그 자원을 암호화폐채굴에 동원하는 '코인마이너' 악성코드 공격이 존재한다. [자료=SK인포섹 이큐스트그룹 2019 보안위협전망보고서]

랜섬웨어도 꾸준히 암호화폐 취득 수단으로 동원되고 있다. 감염 피해자에게 자료복구 대가로 현금 대신 암호화폐를 요구하는 수법이다. SK인포섹 전문가들은 랜섬웨어가 보안솔루션을 우회하고 다른 악성코드 및 공격기법과 결합해 발전할 것이라고 내다봤다.

관련기사

SK인포섹은 암호화폐를 노리는 공격 외에도 산업시설을 노리는 IoT 해킹 공격, 기업의 오픈소스 소프트웨어를 노린 공격, 대규모 공격을 위한 관리서버 장악과 수평이동 공격, APT 공격 전초전인 이메일 공격 확대까지 5가지 흐름을 2019년 주요 보안 위협 시나리오로 꼽았다.

17일 SK인포섹 이재우 EQST그룹장은 "체계적인 계획아래 보안솔루션이나 서비스를 도입해 명확한 지침을 갖고 운영해야 한다"면서 "기술적 조치 외에 이메일 APT공격을 대비한 모의훈련처럼 관리적 보안 활동을 지속하는 것만으로도 보안성을 높일 수 있다"고 조언했다.