가짜 암호화폐 거래사이트 유니온크립토 통해 멀웨어 유포...北 해커조직 개입 '의혹'

가 -가 +

이선영 기자
기사입력 2019-12-08 [22:23]


최근 가짜 암호화폐 거래 사이트에서 암호화폐 해킹을 목적으로 한 신종 멀웨어가 발견됐다. 이는 북한 해커조직 라자루스(Lazarus)의 수법과 유사해 북한과의 연계 가능성이 제기되고 있다. 

 

최근 글로벌 IT 전문매체 블리핑컴퓨터(Bleeping Computer)는 가짜 암호화폐 거래사이트 '유니온크립토(UnionCrypto)'에서 암호화폐 보유자를 노린 맥(Mac) OS 전용 멀웨어가 유포됐다고 보도했다. 멀웨어는 컴퓨터 사용자 몰래 시스템에 침투하거나 피해를 입히기 위해 설계된 악성 소프트웨어다.

 

전문 연구원 디네쉬 데바도스(Dinesh Devadoss)는 '똑똑한 암호화폐 재정거래 플랫폼'을 표방하는 유니온크립토에서 신종 멀웨어가 확인됐다고 밝혔다.

 

해당 멀웨어는 메모리 내부에서 원격으로 활성화되는 방식을 통해 포렌식 분석망을 피했다. 해당 멀웨어를 감지하고 경고한 바이러스 검색엔진은 5개에 그쳤다.

 

이와 관련해 멀웨어 전문가 디네시 데바도스(Dinesh Devadoss)는 "라자루스는 암호화폐 관련 웹사이트로 위장해 Mac OS용 멀웨어를 유포하는 수법을 사용한다"며 "해당 웹사이트 역시 '스마트 암호화폐 재정거래 플랫폼'이라면서 '유니언크립토트레이더(UnionCryptoTrader)'란 멀웨어 패키지를 호스트했다"고 설명했다.

 

패트릭 워들 연구원도 라자루스가 이전에 사용했던 악성코드와 신종 악성코드가 명확한 공통점을 가진다고 주장했다. 지난 10월 발견된 라자루스 멀웨어도 가짜 암호화폐 거래소, 거래 앱을 통해 유포된 바 있다.

 

카스퍼스키랩은 멀웨어 '애플제우스(AppleJeus)'에서 발견된 북한 관련 문자열을 근거로 라자루스의 개입을 주장했다. 라자루스는 지난해 전세계 150여개국 약 30만대의 컴퓨터를 강타한 '워너크라' 랜섬웨어 공격의 배후로도 의심받고 있다.

 

이에 지난 9월 라자루스는 블루노르프, 안다리엘과 함께 미국 재무부 제재 명단에 올랐다. 재무부는 "북한 정권의 지원 아래 여러 정부와 금융기관, 암호화폐 거래소 등을 상대로 광범위한 사이버 공격을 일삼고 있다"며 라자루스의 미국 내 자산을 동결하고 관련 거래를 금지시켰다.

 

한편, 내년에도 암호화폐 거래소를 노린 해킹 공격이 꾸준히 증가할 것이란 전망이 나왔다.

 

보안기업 잉카인터넷이 발표한 자료에 따르면 국내 암호화폐 거래소는 최근 3년 간 해킹으로 1200억원이 넘는 피해를 입었다. 올해도 국내 주요 거래소들이 외부 공격에 피해입는 사례가 이어졌다.

 

공격자는 거래소 시스템을 직접 공격할 뿐만 아니라 거래소 사용자들도 노리고 있다. 거래소를 사칭해 암호화폐 투자계약서나 지갑 프로그램으로 위장한 악성코드를 사용자에게 유포하고 있다는 설명이다.

 

이 같은 악성코드에 감염되면 암호화폐 탈취는 물론 사용자 PC가 암호화폐 채굴에 악용될 수도 있다. 이러한 채굴형 악성코드의 경우 사용자들이 피해를 눈치채기 힘들기 때문에 앞으로도 다양한 타깃을 대상으로 꾸준히 유포될 것으로 예상된다.

 

잉카인터넷 정영석 이사는 “암호화폐 거래소 직원을 사칭하거나 암호화폐 지갑 프로그램으로 위장한 악성코드를 통해 공격할 것”이라 예측했다.

이선영 기자의 다른기사보기
트위터 페이스북 카카오톡 카카오스토리 band naver URL복사
URL 복사
x
  • 위에의 URL을 누르면 복사하실수 있습니다.

PC버전 맨위로 갱신

Copyright ⓒ 코인리더스. All rights reserved.