정대선 현대BS&C 사장이 설립한 블록체인 기술 기업 에이치닥테크놀로지의 암호화폐 '에이치닥'을 탈취한 해커가 최근 현대페이에서 개발한 암호화폐 하드웨어 지갑 '카세' 사용자들을 대상으로 악성파일을 유포하고 있는 것으로 나타났다.
지난 8월 이 해커는 구글 플레이 스토어에 등록된 에이치닥 압호화폐 지갑 앱을 악성 앱으로 바꿔 사용자에게 유포했다. 악성 앱을 내려받은 사용자들은 코인이 무단 출금되는 피해를 입었다.
이후 이 해커가 윈도 기반 악성파일을 개발, 이번에는 카세 사용자를 대상으로 추가 공격을 시도하는 모습이 포착된 것이다.
이같은 공격에 대해 보안업계는 북한 정부 소속 해킹 조직 '탈륨'의 소행일 가능성이 높다고 분석했다.
현대페이는 카세 홈페이지에 자사 공식 안내문으로 위장한 악성메일이 유포되고 있다는 내용의 주의문을 올렸다.
주의문에 따르면 해커는 코인 무단 출금 사태로 에이치닥 지갑 서버 운영이 일시 중단된 상황을 언급했다. 그러면서 임시 서버를 구축하고, 보안 기능을 강화한 '카세' 프로그램을 제공한다며 악성파일 설치를 유도했다. 이 파일을 열어 지갑 복구단어를 입력할 경우 지갑 내 코인이 전부 탈취될 수 있다.
현대BS&C 관계자는 "지난달 24일 카세 사용자를 통해 악성 메일이 유포되는 것을 확인하고 주의문을 게재했다"며 "내부 서버가 해킹된 정황은 없으며, 수사기관에 관련 내용을 보고했다"고 답했다.
공격의 배후로 추정되는 탈륨은 '김수키'라는 이름으로도 알려져 있다. 국내에서는 주로 대북·외교 종사자들을 대상으로 정보 탈취 공격을 시도한 사례가 보고돼왔다.
관련기사
- 에이치닥 첫 디앱은 음원 저작인접권 서비스 '위엑스닥'2020.03.18
- [영상] HDAC "범현대가 아파트에 블록체인 적용 연내 시작"2019.10.22
- 에이치닥테크놀로지, 콜드월렛 40% 할인2019.01.04
- 에이치닥, 내년 2월 신규 메인넷 출시…"범현대家와 협력 지속"2019.10.17
문종현 이스트시큐리티 시큐리티대응센터(ESRC) 이사는 이번 공격 사례에 대해 "해커가 윈도 기반 악성파일을 8월 말쯤 제작해 추석 전후로 공격을 시도한 것으로 보인다"며 "지난 6월 탈륨이 청와대를 사칭한 메일로 유포한 악성코드와 같은 코드가 발견됐다"고 답했다.
실제 피해가 발생한 에이치닥 모바일 지갑 앱의 경우 지난 8월18일부터 중단된 서비스를 지난 14일부터 재개했다. 회사는 텔레그램 채널을 통해 이같이 알리면서 추가 피해 방지책 마련에 노력을 기울이고 있다고 밝혔다. 다만 무단 출금 피해 대응책은 밝혀지지 않은 상태다.