세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
새 먹잇감 찾아 몰려든 해커들, 가상화폐 거래소 피싱 공격 ‘난무’
  |  입력 : 2017-08-23 11:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
코빗 이어 코인원 등 가상화폐 거래소 사칭한 이메일과 피싱 사이트 줄줄이 포착
대다수 사용자 부주의로 보안사고 발생...도메인 확인 등 보안에 꼼꼼히 신경써야


[보안뉴스 김경애 기자] 가상화폐 거래소를 노린 피싱 공격이 다양하게 출현하고 있다. 가상화폐 지갑 주소를 바꿔치기하거나 실제 거래소와 유사한 도메인의 피싱 사이트를 통해 투자자의 계정 정보를 노리고 있다. 특히, ‘새로운 기기에서의 로그인 알림’이란 제목의 피싱 메일이 이용자를 대상으로 대량 유포된 정황이 포착돼 이용자들의 각별한 주의가 요구된다.

▲코인원을 사칭한 피싱 사이트[사진=제보자 제공]


23일 비트코인 거래소 ‘코인원’을 사칭한 피싱 사이트가 발견됐다. 해당 피싱 사이트는 이메일 주소와 패스워드 등의 정보탈취를 목적으로 사용자들의 입력을 유도하고 있다. 도메인 주소 역시 실제 코인원 주소와 유사해 사용자들이 쉽게 현혹되기 쉽다.

이에 대해 코인원 측은 “최근 유사한 인터넷주소로 피싱을 시도하는 사례가 발생하고 있다”며 “피싱 사이트는 주소창에 자물쇠가 없으며, OR.KR로 표시돼 있다”고 안내했다. 이와 함께 실제 피싱 사이트를 예시로 들며, 피싱 웹사이트(coinone,or,kr)와 피싱 이메일(cs@coinone,or,kr/ info@coinone,or,kr)을 공지했다.

▲카이버네트워크(KyberNetwork) 텔레그램[사진=텔레그램 캡처 화면]


거래소 없이 개인이 가상화폐 지갑주소에서 바로 매매할 수 있도록 구현한 블록체인 기반의 탈중앙화 거래소인 카이버네트워크(KyberNetwork)를 사칭한 피싱 공격도 텔레그램을 통해 포착됐다.

지난 22일 카이버네트워크 텔레그램에는 ‘피싱 경고’ 문구가 올라왔다. 해당 문구 내용을 살펴보면 ‘@officialkybernetworka 계정은 우리의 계정이 아니니 조심하라’며 ‘abuse@telegram.org로 신고할 것’을 당부했다.

카이버네트워크는 이더이움의 창시자인 비탈릭 부테린이 고문으로 있는 것으로 알려졌으며, 현재는 가상화폐공개발행(ICO)이 예정돼 있어 투자자들의 관심을 한 몸에 받고 있다. 이러한 상황을 미리부터 파악하고 있는 전 세계 해커들이 투자자들의 가상화폐 지갑을 노리고 있는 셈이다.

이에 대해 익명을 요구한 보안업계 관계자는 “ICO를 하면 투자자는 ICO 주체의 주소에 이체하는데, 해커가 이 주소를 변조하는 사건이 최근 들어 많이 발생하고 있다”며 “이체하는 투자자들은 변조된 주소인 해커의 지갑으로 이체하고 있다”며 무엇보다 이체 주소지를 정확히 확인할 것을 당부했다.

보안전문가 역시 ICO 자금을 노린 해킹사례를 지목하며 “최근 전 세계 해커들이 가상화폐 해킹에 열을 올리고 있다”며 “ICO에 참여하기 위해서는 SNS인 텔레그램을 통해 사전등록을 해야 하는데, 해커는 가상화폐 ICO 단계에서부터 대표 가상화폐 지갑 주소를 바꿔치기해 ICO 자금을 빼돌린다”고 설명했다.

이보다 앞서 지난 20일에는 국내 유명 비트코인 거래소 중 한곳을 사칭한 피싱이 대량 유포된 정황도 포착됐다.

▲비트코인 거래소를 사칭한 피싱 메일 화면[사진=이스트시큐리티]


공격자는 ‘새로운 기기에서의 로그인 알림’이란 제목으로 피싱 메일을 유포했으며, 메일 본문에는 ‘새로운 기기에서 회원님의 계정이 로그인되었습니다. 회원님께서 로그인하신 것이 아니라고 의심되면, 보안을 위해 계정을 동결 할 수 있습니다. 계정을 동결하기 위해서 이곳을 클릭해 주세요’란 메시지와 함께 위치, 기기, IP 주소 정보를 보여주고 있다.

만약 이메일 수신자가 ‘이곳을 클릭해 주세요’ 링크를 클릭할 경우 실제 사이트와 흡사하게 제작된 피싱 사이트로 연결되며, 이메일과 비밀번호 등 계정정보 입력을 유도한다.

해당 피싱 메일 역시 가상화폐 거래소와 유사한 도메인을 생성해 공격에 활용하고 있다. 이는 사람의 심리를 악용한 전형적인 사회공학적 공격수법이다.

이를 분석한 이스트시큐리티 측은 “국내 유명 가상화폐 거래소로 착각할 수 있지만, 실제 해당 웹사이트의 정상적인 인터넷 주소는 ‘.or.kr’이 아닌 ‘.co.kr’ 주소”라며 “피싱 사이트에 속아 이메일과 비밀번호를 입력하게 되면 인증번호 입력을 추가 요구하는 화면을 보여주면서 이미 입력된 계정정보를 공격자의 서버로 사용자 모르게 전송하게 된다”고 밝혔다.

이어 이스트시큐리티 측은 “최근 가상화폐 이용자들을 노린 다양한 사이버 공격 유형이 발견되고 있다”며 “유사한 해킹 공격에 피해를 입지 않도록 여러 웹사이트에서 로그인 암호는 가급적 다르게 사용하는 보안습관이 중요하고, 출처가 불분명한 메일을 열어보지 않도록 신경 경써야 한다”고 당부했다.

이처럼 최근 들어 비트코인 거래소를 사칭한 피싱 사이트와 피싱 메일 등이 난무하고 있다. 이와 관련 라온시큐어 이종호 연구원은 “대부분 비트코인 거래소를 노린 해킹 공격은 사용자의 부주의를 불러일으키는 피싱 공격이며, 사고 발생 역시 사용자 부주의로 인한 경우가 대다수”라며 “사용자는 OTP 번호나 계정 관리에 대해 더욱 신경 써야 한다”고 강조했다.

누리랩 최원혁 대표 역시 가상화폐 거래소를 이용할 때에는 OTP 인증을 통해 이중 보안 설정을 권장하면서 “가상화폐를 이체할 때에는 대부분 계좌 번호가 길어 외우지 못하기 때문에 흔히 복사해서 붙여넣는 방법을 이용하는데, 악성코드 등으로 인해 붙여넣기한 계좌가 교체될 수 있다. 따라서 붙여넣기를 하더라도 상대방 계좌번호의 앞 6자리 정도는 최소한 확인하는 습관이 필요하다”고 말했다.

따라서 이용자들은 유사 해킹 공격에 피해를 입지 않도록 각별한 주의가 필요하다. 가상화폐 거래소를 이용자들은 (1)인터넷주소창에 자물쇠가 있는지 꼭 확인 (2)인터넷주소(URL)가 정확한지 확인 (3)이메일 발신자 주소 확인 (4)이메일에서 버튼 링크로 넘어올 때 특히 더 주의 (5)인터넷 검색보다는 직접 주소를 입력하거나 즐겨찾기를 이용하는 것이 보다 안전할 것으로 보인다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 공공 및 민간의 클라우드 컴퓨팅 도입이 더욱 활발해질 것으로 보입니다. 보안성과 효율성을 고려할 때 자사의 클라우드 도입시 가장 우선적으로 검토할 기업 브랜드는?
아마존웹서비스(AWS)
마이크로소프트 애저(MS Azure)
IBM 클라우드
오라클 클라우드
NHN엔터테인먼트 토스트 클라우드
NBP 네이버 클라우드 플랫폼
기타(댓글로)