국내 비트코인 거래소에 해킹 시도한 北해커

北해커, 이메일에 악성코드 심어 비트코인 탈취 시도
한수원 해킹·청와대 사칭 메일 사건과 같은 IP주소
경찰 "北해커 소행 결론…실제 감염·피해 사례 없어"
  • 등록 2017-09-27 오후 5:04:14

    수정 2017-09-27 오후 5:04:14

경찰청 사이버안전국은 27일 국내 비트코인 거래소들을 대상으로 해킹이 시도된 사건을 수사한 결과 북한 소행임을 확인했다고 밝혔다. 이날 오전 경찰청에서 김영운 사이버안전과 팀장이 사건개요 등을 브리핑하고 있다. (사진=뉴시스)
[이데일리 김성훈 기자] 올해 여름 국내 가상화폐(비트코인) 거래소를 대상으로 벌인 악성메일 유포는 북한의 소행인 것으로 드러났다.

경찰청 사이버안전국은 지난 7~8월 국내 비트코인 거래소 4곳에 있는 관계자 25명의 이메일에 금융·국가 기관을 사칭한 악성코드 사건을 수사한 결과 북한 해커 소행으로 확인했다고 27일 밝혔다.

경찰에 따르면 해당 메일은 ‘수사협조 요청’이라는 제목에 “지갑(비트코인이 들어 있는 계좌) 주소 확인 부탁 드립니다”라는 내용과 함께 악성 프로그램을 첨부했다. 메일에는 실존 인물인 수사관 신분증 사본 등을 첨부하며 의심의 눈초리를 피해갔다.

북한 해커들은 해당 메일에 첨부한 악성코드로 업체 내부망을 해킹해 비트코인을 탈취하려 했다. 실제로 악성코드에 감염된 컴퓨터(PC)나 비트코인을 탈취한 사례는 없었다고 경찰은 전했다.

경찰조사 결과 사칭 이메일 계정은 총 9개로 7개는 네이버 등 국내 포털사이트 계정, 2개는 G메일 등 외국 계정이었다. 해커들은 이 가운데 4개는 아이디와 비밀번호를 도용했고 5개는 직접 가입해 사용했다.

경찰 관계자는 “직접 가입한 계정 5개 중 2개는 스마트폰 인증 방식으로 생성했다”며 “해당 스마트폰은 악성코드에 감염돼 해커들이 스마트폰으로 수신하는 인증번호를 가로챈 뒤 계정 생성에 사용한 것으로 보인다”고 설명했다.

경찰은 이번 사건이 2014년 한수원 해킹사건이나 지난해 청와대 사칭 메일 발송사건에서 확인한 것과 같은 중국 프로토콜(IP) 주소를 사용했다고 설명했다. 또 악성 메일을 보내기 전에 테스트 목적으로 발송한 이메일 접속지가 북한으로 확인돼 북측 해커의 소행으로 결론 내렸다.

경찰 관계자는 “비트코인 거래소 업체들에 이번 사례를 알리며 피해 방지에 나서고 있다”며 “스마트폰을 감염시켜 범행에 사용한 점이 확인된 만큼 모르는 사람에게 수신한 메시지 링크를 클릭하거나 출처를 알 수 없는 애플리케이션 설치를 자제해야 한다”고 말했다.

이데일리
추천 뉴스by Taboola

당신을 위한
맞춤 뉴스by Dable

소셜 댓글

많이 본 뉴스

바이오 투자 길라잡이 팜이데일리

왼쪽 오른쪽

스무살의 설레임 스냅타임

왼쪽 오른쪽

재미에 지식을 더하다 영상+

왼쪽 오른쪽

두근두근 핫포토

  • 몸짱 싼타와 함께 ♡~
  • 노천탕 즐기는 '이 녀석'
  • 대왕고래 시추
  • 트랙터 진격
왼쪽 오른쪽

04517 서울시 중구 통일로 92 케이지타워 18F, 19F 이데일리

대표전화 02-3772-0114 I 이메일 webmaster@edaily.co.krI 사업자번호 107-81-75795

등록번호 서울 아 00090 I 등록일자 2005.10.25 I 회장 곽재선 I 발행·편집인 이익원 I 청소년보호책임자 고규대

ⓒ 이데일리. All rights reserved