국내 최대 가상화폐거래소 빗썸이 이달 초부터 공격 징후가 있었던 것으로 확인됐다.
20일 업계에 따르면 이달 초 빗썸 회원들에게 해커의 명령제어 서버로 연결되는 악성코드가 담긴 이메일이 발송됐다. 이용자가 메일을 열람하고 해당 코드를 실행하면 해커는 이용자의 정보를 손에 넣을 수 있다.
보안업계는 악성코드 이메일 발송은 이번 빗썸 해킹사고와 연관될 가능성이 있다고 주목한다.
보안업계 관계자는 “회원에게 발송된 이메일과 이번 해킹 사고의 연관성은 아직 확인되지 않았지만, 이메일이 거래소를 노린 공격의 시작일 수 있다”라고 분석했다.
주목할 부분은 악성 이메일의 명령제어 서버가 최근 제작된 이력서 사칭 악성파일의 통신 서버와도 연결된다는 점이다.
지난달 말 제작된 이 악성파일은 주로 이메일을 통해 가상화폐 거래소를 포함한 기업에 유포됐을 것으로 추정되나 실제로 이메일로 발송됐는지는 확인되지 않았다.
이력서 사칭 이메일을 이용한 거래소 공격은 이미 지난해 국내에서 성행한 수법이다.
빗썸 역시 작년 6월에 이력서 사칭 이메일에 당했다. 당시 공격자는 이메일에 첨부한 입사지원서에 악성코드를 숨겨 빗썸 직원의 개인용 컴퓨터를 해킹, 3만6000여건의 개인정보를 빼돌렸다.
이후 빗썸은 통합보안 솔루션 '안랩 세이프 트랜잭션'을 업계 최초로 도입하며 보안 강화에 나섰지만, 이번에 다시 해커의 제물이 되고 말았다.
이스트시큐리티 문종현 이사는 “보안 솔루션을 무력화했다는 점에서 숙련된 해커일 가능성이 크다”면서 “이미 가상화폐 거래소는 해커들의 주요 돈벌이 수단이 됐으며, 다른 거래소에도 유사한 일이 벌어질 수 있다”고 지적했다.
유수환 기자 shwan9@kukinews.com