약 580억원어치 이상거래가 발생해 해킹 의혹에 휩싸인 암호화폐거래소 업비트가 지능형지속위협(APT) 공격 피해를 입었을 가능성이 제기된다.
APT는 공격자가 수개월간 잠복하면서 때를 노리는 수법이다. 오랜 기간에 걸쳐 침투하기 때문에 공격이 발생하더라도 쉽게 파악하기 어렵다. 직원 사칭 이메일을 보내 이용자 정보를 탈취한 후 이후 자산 탈취 등 본래 목적을 달성하는 스피어피싱이 대표적이다.
보안업계는 지난 6월부터 암호화폐거래소 이용자를 겨냥한 스피어공격을 포착했다. 당시 공격자는 이벤트 당첨 안내를 위장한 이메일을 보내 이용자가 한글문서 파일을 열면 악성코드가 실행되게 했다.
업비트를 표적한 공격도 발생했다. 업비트는 지난 10월 '직원 사칭 메일 주의 안내'를 두 차례에 걸쳐 공지했다. 스피어피싱 공격과 관련해 이용자 주의를 당부했다. 당시 스피어피싱 이메일을 쓴 공격자는 '되였습니다'와 같은 북한식 표기를 사용해 북한 추정 해커에 의해 수행된 것이라는 지적도 나왔다.
업비트를 운영하는 이석우 두나무 대표는 27일 대량 출금 발발 5시간 만인 오후 6시께 “업비트 이더리움 핫월렛에서 ETH 34만2000개(약 580억원)가 알 수 없는 지갑으로 전송됐다”고 공지해 이상거래 발생을 인정했다.
이 같은 이상거래가 내부자 소행인지 해킹 공격인지 아직 불투명한 상황이지만, 업계에선 수개월 전부터 이어져 온 APT 공격에 의한 해킹 가능성을 배제하지 않았다.
한 업계 관계자는 “한두 달 전부터 암호화폐거래소 임직원 대상 스피어피싱 공격이 꽤 있었다”면서 “4대 거래소 중 한 곳에는 직원 한 명이 공격 받아 PC를 포맷한 사건도 최근 발생했다”고 말했다.
이어 “APT 공격은 업체 측에서 준비한다 하더라도 미리 들어와 있을 가능성이 높아 공격자가 언제부터 숨어 있었던 것인지 알 수 없다”고 덧붙였다. 이더리움 약 580억원이 전송된 지갑은 현재 아무런 거래가 발생하고 있지 않다. 이에 관해 업계 관계자는 “이처럼 주목도가 높을 때 APT 공격자는 움직이지 않는다”면서 “향후 관심이 줄어들었을 때 움직이기 시작할 것”이라고 말했다.
28일 업계에 따르면 △빗썸 △코빗 △코인원 △업비트 등 국내 4대 암호화폐거래소 최고정보보호책임자(CISO)는 비공식 모임을 가져 왔지만, 업비트 이상거래가 발생한 이후 만남이나 소통을 중단한 상태다.
오다인기자 ohdain@etnews.com