친러 해커조직, 美 공항 디도스 공격…韓도 준비태세 강화 권고
과학기술정보통신부와 한국인터넷진흥원(KISA)은 해커조직 킬넷이 미국 주요 공항 웹사이트에 대한 공격을 예고함에 따라 국내 해킹 시도에 대한 탐지를 강화하는 등 긴급 상황에 대비하고 있다고 5일 밝혔다.
과기정통부에 따르면 킬넷은 이날 오전 5시 45분(한국시간) 텔레그램 채널을 통해 미국 주요 공항에 대한 공격 메시지를 올렸다.
이들은 필라델피아, 포틀랜드, 롱비치 등 미국 8개 공항 웹사이트를 비롯해 일본, 유럽 등 주요 국가를 대상으로 사이버 공격을 지속하고 있다.
과기정통부와 KISA는 국내 디도스 공격 시도에 대한 탐지를 강화하는 한편 국내 항공 관련 기업, 기관 등 주요 기반 시설 관리자들에게도 보안 모니터링 강화를 요청했다.
데이터 암호화 통신에 쓰이는 프로토콜(TLS/SSL)의 오픈소스 라이브러리 'OpenSSL'의 보안 취약점에 대해 보안 업데이트를 독려했고, OpenSSL 프로젝트 위험도 4단계 중 상위 2단계에 해당하는 '하이(High)' 등급 위험 단계가 발령됐다.
자세한 사항은 KISA '보호나라' 누리집 공지를 참고하거나 국번 없이 118로 상담을 요청하면 조치 방법 등을 자세하게 안내받을 수 있다.
김수영 한경닷컴 기자 swimmingk@hankyung.com
-
기사 스크랩
-
공유
-
프린트
-
1
카카오 먹통 틈타 北 해킹 시도?…이메일 사칭 문자 주의하세요
카카오톡을 비롯한 카카오 계열 서비스 장애를 틈타 해킹을 시도해 피싱 이메일이 극성을 부리는 것으로 확인됐다.18일 자유아시아방송(RFA)에 따르면 서비스 장애가 발생한 다음 날인 16일 북한 업계 종사자와 탈북민 일부가 카카오를 사칭해 전송된 피싱 이메일을 받았다. 이메일은 '[Kakao] 일부 서비스 오류 복구 및 긴급 조치 안내'라는 제목으로 발송됐다.피싱 메일 발신자는 ‘카카오팀(account_support@kakaocorps.com)'이라는 계정으로 ‘Kakao Talk Update. zip’이라는 파일을 첨부한 뒤, "판교 데이터센터 화재로 인한 서비스 장애로 인해 PC 버전 카카오톡의 원활한 이용을 위해서는 업데이트된 PC 버전의 카카오톡을 이용하시길 바란다"는 안내와 함께 파일을 내려받도록 유도했다.자유아시아방송이 카카오 측에 이 같은 이메일을 보냈는지 묻자 카카오 관계자는 "카카오가 발송하는 전자우편은 계정을 포함해 개인정보를 요구하지 않는다. 파일을 첨부한 형태의 전자우편 역시 보내지 않는다"고 설명했다.카카오 관계자에 따르면 이 같은 형태의 사칭 전자우편은 이번이 처음 접수된 사례로 밝혀졌다. 카카오 측은 "카카오를 사칭한 전자우편을 통해 계정 정보 등 개인정보를 탈취하려는 시도가 있을 수 있다"고 주의를 당부했다.이에 대해 국내 보안 전문가들은 "북한이 정보수집 및 컴퓨터 이용자 감시 등의 목적으로 접근했을 가능성이 커 보인다"고 진단했다. 이메일로 접근한 해킹에 성공하게 되면 개인 정보 탈취나 개인용 컴퓨터에 대한 원격 제어를 할 수 있게 된다.문종현 이스트 시큐리티 이사는 자유아시아방송과의 통화에서 "북한이 기존 공격보다 더 높은 성공률을 확보하고자 한국의 사회적인 이슈를 신속하고 정교하게 활용한 것으로 보인다"고 말했다. 문 이사는 카카오 서비스 장애 하루 만에 이 같은 이메일이 발신된 점을 주목했다.한편 카카오 측은, 이 같은 문제를 안 지하고 회사의 여러 통로를 통해 '카카오 사칭 문자에 주의하라'는 안내를 공지한 것으로 알려졌다.과학기술정보통신부와 한국인터넷진흥원도 '카카오 서비스 장애 이슈를 악용한 사이버 공격에 대한 주의 권고'라는 공지를 통해 카카오톡 설치 파일 등으로 위장한 해킹 이메일, 스미싱 유포를 주의할 것을 당부했다.통일부에 따르면 아직 북한에 의한 이메일 해킹 피해 접수 사례는 없는 것으로 확인됐다.김세린 한경닷컴 기자 celine@hankyung.com
-
2
북한이 해킹한 가상 자산 431억원 회수 스토리[비트코인 A to Z]
최근 가상 자산업계에서 ‘크로스체인 브리지’ 해킹 사례가 연이어 발생하고 있다. 피해 금액 중 라자루스 그룹(Lazarus Group)과 같은 북한 해킹 단체들이 탈취한 가상 자산만 해도 현재까지 약 10억 달러(약 1조4355억원)로 추정된다.엑시 인피니티(Axie Infinity)에 이어 하모니(Harmony), 노마드(Nomad)까지 최근 크로스체인 브리지에서 유독 해킹 피해가 이어지는 이유는 무엇일까. 연이어 발생한 ‘크로스체인 브리지 해킹’브리지(bridge)는 서로 다른 블록체인 플랫폼 간 자산 이동을 돕는 기술이다. 탈중앙화 금융(DeFi·디파이) 내 유동성을 높여주기 때문에 필수적으로 쓰인다.브리지는 많은 자금이 몰리는 만큼 해킹의 표적이 되고 있다. 자금 유동성이 큰 만큼 잇단 해킹으로 피해 금액이 늘어나고 있다. 그중 역대 최대 규모의 해킹 사건 중 하나인 ‘로닌 네트워크’ 사태 역시 라자루스의 소행으로 무려 6억 달러(약 8613억원) 상당의 가상 자산을 빼돌렸다. 블록체인 모바일 게임 ‘엑시 인피니티’를 구동하는 로닌 네트워크는 올해 3월 해킹 피해를 봤다.다행히도 최근 라자루스가 엑시 인피니티에서 훔친 3000만 달러(약 431억원) 이상의 가상 자산을 회수했다는 소식이 들려왔다. 이는 가상 자산 분석 기업인 체이널리시스와 국제 사법 기관의 협력을 통해 이룬 결과다.체이널리시스는 첨단 기술을 활용해 훔친 자금의 현금화 시도를 추적하고 사법 기관, 업계 관계자들과 실시간으로 소통하며 자금을 신속하게 동결하는 데 기여했다.북한 연계 해커들은 총 다섯 단계에 걸쳐 암호화폐를 탈취하고 세탁해 보유 자산으로 전환한다. 다섯 단계는 △탈취한 이더리움 취합 △취합된 이더리움을 쪼개 흔적 없애기(믹서) △쪼개진 이더리움을 비트코인으로 각개 교환 △각개로 교환된 비트코인을 일괄적으로 혼합 △암호화폐-현금 전환 서비스를 통한 인출로 구성된다. 자금 추적은 아래와 같은 방식으로 진행됐다.엑시 인피니티의 크로스 체인 브릿리인 로닌 네트워크는 9개의 거래 검증자 중 5개 이상의 승인을 받아야 거래가 완료되는 구조다. 라자루스는 이 중 5개의 검증자를 해킹한 이후 두 번의 거래를 승인해 각각 17만 3600개의 이더(ETH), 2550만 개의 USD 코인(USDC)이 인출됐다.인출 후 라자루스는 훔친 가상 자산을 숨기기 위해 1만2000여 개의 가상 계좌를 이용하는 등 치밀하게 자금 세탁을 시작했다. 라자루스는 우선 훔친 가상 자산을 이더리움 환전용 지갑으로 보낸 후 토네이도 캐시를 통해 믹싱했다. 믹싱은 가상 자산을 섞거나 쪼개 자금 흐름을 추적하기 어렵게 만드는 작업이다.라자루스 조직은 이렇게 섞은 이더리움을 비트코인으로 환전하고 다시 한 번 비트코인을 믹싱했다. 비트코인을 현금화할 준비가 되면 자금 세탁은 끝이 난다. 로닌 네트워크에서 해킹한 자금의 상당 부분도 이와 동일한 방법으로 자금 세탁을 마쳤다. 체이널리시스가 제공하는 리액터(reactor)로 위에서 언급한 자금 세탁 과정을 다음과 같이 시각화할 수 있다.최근 미국 재무부 해외자산통제국(OFAC)은 4억5500만 달러(약 6526억원) 상당의 엑시 인피니티 도난 자금 세탁에 연루된 토네이도 캐시를 제재했다.라자루스는 제재 이후 ‘체인 호핑(chain hopping)’을 통한 단 1건의 거래를 통해 도난 자금을 여러 종류의 가상 자산으로 분산했다. 체인 호핑은 자금 추적을 피하기 위해 한 가상 자산을 다른 가상 자산으로 전환하는 행위를 말한다. 브리지는 체인 간 디지털 자산을 이동하는 중요한 기능을 하며 대부분의 플랫폼에서 합법이기 때문에 라자루스는 자금 출처를 감추기 위해 이를 사용하고 있는 것으로 보인다.가상 자산 고유의 투명성이 해결 이유위 그림은 체이널리시스 스토리라인(storyline)을 통해 구현한 라자루스의 도난 자금 세탁을 위한 체인 호핑 정황이다. 이러한 자금 추적은 가상 자산 고유의 투명성을 통해 가능하다.가상 자산의 투명성은 엑시 인피니티와 같은 크로스체인 브리지 해킹을 수사하는 데 중요하다. 이번 자금 회수 사례는 앞으로 사이버 범죄자들이 불법으로 취득한 가상 자산을 현금화하는 일이 점차 어려워질 것을 방증한다.앞선 사례와 같이 블록체인 분석 툴을 통해 민관이 협력한다면 정교한 해킹 공격이나 가상 자산 자금 세탁도 막을 수 있다는 것이 입증됐다. 피해 금액 전부를 회수하지는 못했지만 북한 해킹 단체가 탈취한 가상 자산이 회수된 것은 이번이 처음이다. 향후 더 많은 사례가 등장할 것으로 확신하며 더 안전한 가상 자산 생태계를 만들기 위한 공공·민간 부문의 협력과 노력은 계속될 것이다.백용기 체이널리시스 한국 지사장
![북한이 해킹한 가상 자산 431억원 회수 스토리[비트코인 A to Z]](https://img.hankyung.com/photo/202210/AD.31438972.3.jpg)
-
3
"함께 일어나자" 해커들도 시위 가담…이란 국영방송 뚫렸다
이란 국영방송이 사이버 공격을 당해 시위 영상을 송출했다.영국 방송 BBC 등 외신에 따르면 7일 오후 6시(현지시간) 이란 국영방송인 채널 1번(IRIB)와 채널 6번(IRNN)에서 기존 방송이 끊기면서 11초간 해킹 조직이 만든 영상이 방송되는 방송사고가 일어났다.이 영상에선 아야톨라 세예드 알리 하메네이 이란 최고지도자가 불길에 휩싸인 가운데 이번 시위를 촉발시킨 22세 여성 마흐사 아미니의 모습이 흑백으로 담겼다. 영상에는 "여성, 삶, 자유" 등을 외치는 소리와 "우리와 함께 일어납시다", "당신의 손아귀에서 젊은이들의 피가 떨어지고 있습니다" 등의 자막이 담겼다.이란에선 지난달 말부터 4주째 전국적인 반정부 시위가 이어지고 있다. 아미니가 지난달 13일 히잡 미착용을 이유로 경찰에 구금됐다가 같은 달 16일 사망한 사실이 드러나면서 정부 억압에 반대하는 시위가 도시 곳곳에서 일어났다. 지난 7일 이란 법의학기구는 아미니가 머리에 타격을 입어 사망했다는 주장과 달리 "대뇌 저산소증으로 인한 다발성 장기부전으로 사망했다"고 했지만 시위 열기는 가라앉지 않아싸다.국영방송을 해킹은 '아달라트 알리(알라의 정의)'라는 해킹조직이 벌인 것으로 알려졌다. 이 조직은 7일 트위터를 통해 "이란을 자유롭게 만들고자 거리에서 흘린 무고한 피를 위해 우리는 마지막까지 이 일을 계속하겠다"며 "봄은 올 것이며 해킹 영상을 널리 알려달라"고 강조했다.시위대와 보안당국의 갈등으로 사망자도 발생하고 있다. 이란 사난다즈에서 시위대를 지지하기 위해 차량 경적을 올린 남성을 포함해 2명이 사망했다. 현지 경찰 관계자는 시위 반대파에 의한 사망인 것으로 추정하고 있다. 이주현 기자 deep@hankyung.com
