빗썸 사칭해 휴머니티 프로토콜 이사 상대 '표적형 사회공학 공격'
한컴 연계 인증서로 디지털 서명된 악성코드 로더 배포
(서울=연합뉴스) 임화섭 기자 = 최근 블록체인 기반 신원 확인 서비스 '휴머니티 프로토콜'(Humanity Protocol)에서 피싱 수법으로 최대 3천600만 달러(540억원)를 털어간 해커들이 북한과 연계된 행위자들일 것이라는 분석이 나왔다.
15일(현지시간) 미국의 북한 전문 매체 'NK프로'는 휴머니티 프로토콜의 의뢰로 이번 사건을 조사한 블록체인 보안업체 '퀀트스탬프'가 이런 결론을 내렸다며, 과거 북한 작전을 연상시키는 도구와 전술이 사용됐다는 점을 근거로 들었다.
퀀트스탬프는 이번 공격을 수행한 것으로 추정되는 구체적 사이버범죄 조직의 이름은 특정하지 않았다.
보도에 따르면 공격자들은 탈취한 인증 정보를 이용해 서비스에 침투한 뒤 이달 8일 휴머니티(기호 $H) 토큰 약 1억4천118만개를 옮기고 블록체인 플랫폼 'BNB 스마트 체인'(BSC·옛 이름 바이낸스 스마트 체인)에서 약 1억 개의 추가 통화를 무단으로 발행했다.
회사에 따르면 공격자들이 훔친 $H 토큰의 총량은 1억9천361만7천148개다.
이번 피싱 해킹은 인간의 심리와 실수를 노리고 특정인을 상대로 공략 방식을 설계하는 '표적형 사회공학 공격' 방식으로 이뤄졌다.
해커들은 한국 암호화폐 거래소 빗썸과 이미 연락을 주고받고 있던 휴머니티 프로토콜 이사 한 명에게 빗썸을 사칭해 피싱 이메일을 보냈으며, 이 이사는 이달 5일 첨부파일을 열고 파일을 작성한 뒤 회사 동료를 참조 명단에 넣어 답장을 보냈다.
첨부된 압축파일이 열리자 한글과컴퓨터와 연계된 인증서로 디지털 서명된 악성코드 로더가 배포됐으며, 해커들은 이를 통해 표적으로 삼은 휴머니티 프로토콜 이사의 컴퓨터를 원격으로 조종할 수 있게 됐다.
한글과컴퓨터의 독자 파일 형식은 북한 사이버 범죄자들이 표적 컴퓨터에 침투하는 데 자주 악용해 온 것으로 알려져 있다고 NK프로는 전했다.
이번 사건은 13일 회사가 공개한 보고서를 통해 외부에 알려졌다.
첫 절도 후 8시간 이내에 공격자들은 유니스왑, 팬케이크스왑 등 탈중앙화 거래소를 이용해 훔친 자금을 새로 만든 지갑들로 흘려보낸 뒤 수익을 챙겼다.
사건 보고서가 공개된 13일 기준으로 공격자들이 통제하는 지갑에는 2천100만 달러(318억 원)가 넘는 이더리움이 들어 있었고, BSC에서 나온 수익은 여전히 추적중인 상태였다.
휴머니티 프로토콜은 이더리움 토큰 계약은 공격자들이 통제하지 못하는 다중서명 지갑을 통해 동결됐다고 밝혔다.
다만 공격자들이 BSC에서는 여전히 관리자 권한을 보유하고 있어, 휴머니티 프로토콜이 접근을 차단하기 전까지 추가 토큰 발행 가능성이 남아 있다고 설명했다.
NK프로는 "이번 사건은 세계에서 가장 활발한 암호화폐 절도 주체로 꼽히는 북한의 방대한 전력에 또 하나의 사례로 추가됐다"고 지적했다.
올해 4월에 발생한 2억9천만 달러(4천400억 원) 규모의 '켈프DAO' 사건과 2억8천500만 달러(4천320억 원) 규모의 '드리프트 프로토콜' 사건도 북한 연계 행위자들의 소행이라는 의심이 나온다.
solatido@yna.co.kr
Copyright ⓒ 연합뉴스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
