북한, 비트코인 해킹으로 외화벌이 사실일까

/ 임종철 머니투데이 디자이너.

최근 북한이 유엔(UN) 안전보장이사회의 새 대북제재 결의안 채택을 앞두고 외화벌이를 위해 국내 가상통화 거래소를 노리고 사이버 테러 공격을 하고 있다는 소식이 외신을 통해 알려졌다.


미국 보안업체 파이어아이(FireEye)는 지난 12일 북한 해커들이 올해에만 한국 가상통화 거래소 3곳의 해킹을 시도했고 지난 4월 발생한 국내 가상통화 거래소의 첫 해킹 사고도 북한 해커의 소행이었다며 구체적인 증거까지 제시했다.

대북제재로 경제적 어려움에 처한 북한이 이에 대한 돌파구로 한국의 비트코인을 해킹하고 있다는 것이다. 북한이 미사일을 발사하면서 그 시기에 맞춰 사이버 공격도 감행해 자국 국민을 단결시키는 데 활용하고 있다는 주장도 나온다.

실제로 가상통화는 종류가 다양해 비트코인을 인출해 다른 거래소에서 이더리움으로 바꾸는 등으로 돈세탁이 쉬운데다 국내 거래소에서 가상통화를 탈취해 해외 거래소에 예치하면 범인을 잡기도 어려워 북한이 외화벌이 수단으로 고려할 여지는 충분하다.

하지만 가상통화 거래소의 모든 해킹 시도를 북한 소행으로 몰고 가는 것은 주의해야 한다는 게 가상통화업계의 주장이다. 사이버 공격은 얼마든지 증거를 조작할 수 있기 때문에 북한의 개입 여부는 불명확하다는 설명이다.


국내 가상통화 거래소 한 관계자는 “최근엔 해킹 공격자들이 수사에 혼선을 주기 위해 일부러 조작된 증거를 흘리기도 한다”며 “ 한두가지 증거만으로 혹은 정치적으로 해석되는 정황 증거만으로 배후를 특정하는 것은 바람직하지 않다”고 설명했다.

다만 과거 사이버 공격은 주로 은행들의 인터넷뱅킹 정보 탈취에 집중됐는데 올 들어 가상통화 거래소나 직원들을 대상으로 하는 해킹 시도가 늘고 있는 것은 사실이다. 비트코인, 이더리움 등 가상통화가 투기 수단이 되면서 가격이 계속 상승한데다 금융권과 달리 보안 수준이 낮아 공격이 쉬운 탓이다.

최근에는 가상통화거래소 직원과 이용자를 노린 피싱, 스미싱 등이 위험 수위라는 지적이다. 피싱은 이메일로, 스미싱은 문자메시지로 정보를 탈취하는 수법이다.

보안업계에 따르면 최근 주요 가상통화거래소 도메인과 유사한 피싱 도메인이 대거 등록됐다. 빗썸, 코인원, 코빗 등 국내 가상통화거래소를 사칭할 목적으로 비슷한 이름으로 도메인을 만들어 메일을 보내 속이는 것이다. 사이트도 가상통화거래소와 똑같이 만들어 구별도 어렵다. 피싱 사이트에 연결하면 이메일과 비밀번호 등 계정 정보 입력을 유도해 개인정보를 빼간다.

무작위로 문자를 보내 다른 IP에서 가상통화거래소에 로그인됐다며 가짜 거래소 링크를 보내 아이디와 비밀번호 탈취를 시도하는 스미싱 사고도 발생하고 있다. 최근엔 가상통화거래소 직원을 노린 스피어피싱도 늘고 있다. 금융감독원, 국세청, 공정거래위원회 등으로 위장해 금융 관련 규제와 위법 내용을 직원에게 보내고 해당 문서를 열면 악성코드에 감염되는 형태다. 개인 PC를 감염시킨 뒤 기업 네트워크로 침입해 고객 정보를 유출해 가상통화 계좌를 해킹한다.

코인원 관계자는 “가상통화를 노린 해커들의 공격은 그동안 수시로 있었기 때문에 거래소 대부분 보안에 신경을 많이 쓰고 있다”며 “직원들과 고객들에게 의심스러운 메일이나 문자 내 URL을 클릭하지 않도록 안내하고 있다”고 설명했다.