“채용 면접 사칭에 공급망 공격까지”…금보원, 가상자산 해킹 분석

[아이티데일리] 채용 담당자를 빙자해 접근한 뒤 악성코드를 배포함으로써 가상자산거래소를 해킹하고 거액을 빼앗긴 피해 사례가 잇따르고 있다.

금융보안원은 17일 최근 발생한 해외 가상자산거래소 해킹 사고와 관련해 공격에 사용된 기법을 분석한 보고서를 공개했다.

전 세계적으로 가상자산 시장이 커져 감에 따라 이를 노린 위협도 늘고 있다. 블록체인 인텔리전스 기업인 ‘TRM랩스(TRM Labs)’는 지난 6월 공개한 보고서를 통해 2024년 전 세계 가상자산 관련 해킹 피해가 22억 달러(한화 3조 2,200억 원)에 이른다고 발표했다.

지속적인 피해에 대응해 금보원은 가상자산거래소 해킹 사고를 조사하고, 그 결과를 토대로 해커 그룹의 주요 공격 기법을 분석해 보고서로 발표했다.

보고서에 따르면 가상자산거래소 해킹 수법은 시스템 취약점 침해와 사회공학적 기법에 결합한 공격으로 변화하고 있다. 과거에는 거래소 자체 시스템의 취약점만을 공략했으나 최근에는 직원을 대상으로 한 피싱 공격이나 소프트웨어 개발 업체를 해킹하는 공급망 공격이 발생하고 있다.

특히 이직이 활발한 IT 업계 특성을 악용해 채용 인터뷰를 빙자하는 피싱 공격 ‘프리텍스팅(Pretexting)’이 가상자산 업계를 대상으로 성행하고 있다. 해커는 채용 담당자를 사칭하는 가짜 SNS 계정을 만들어 가상자산거래소 종사자에게 접근했다. 면접을 진행하는 과정에서 구직자에게 악성코드 실행을 유도함으로써 피해자의 PC를 감염시켰다.

글로벌 보안기업 이셋(ESET)은 지난 3월 채용 담당자로 위장해 프리랜서 개발자에게 접근한 뒤 악성코드를 퍼뜨린 캠페인을 공개한 바 있다. 공격자는 피해자에게 코딩 테스트를 요청하고 작업에 필요한 파일을 전송했는데 여기에는 악성코드가 담겨 있었다. 악성코드는 PC 운영체제(OS)에 침투해 가상자산 탈취에 필요한 정보를 수집해 공격자에게 전송했다.

악성 명령어를 피해자가 입력하도록 유도한 사례도 있었다. 이 같은 공격을 ‘클릭픽스(ClickFix)’라 일컫는데, 이는 사용자를 속여 악성 명령을 복사·붙여넣기로 실행하게 만드는 사회공학적 공격이다. OS에 기본 탑재된 명령어 도구를 이용하는 관계로 보안 솔루션의 탐지를 회피할 수 있다.

보고서에 소개된 공격 사례는 면접을 위해 채용 사이트로 위장한 피싱 사이트에 접속하도록 유도하는 것으로 시작된다. 그다음 화상 면접을 진행하는 듯이 피해자를 기만하고 화면에 표시되는 절차를 따르도록 유인했다. 이 과정으로 입력된 명령어로 다운로드된 악성코드는 사용자 PC에 남아 지속적으로 정보를 탈취했다.

이 밖에도 거래소에서 사용하는 소프트웨어에 악성코드를 심은 후 사용자 인터페이스(UI)를 조작해 무심코 서명하게 만드는 ‘블라인드 서명(Blind Signature)’ 공격이 발견됐다. 역대 최대 규모인 약 2조 원의 피해가 일어난 바이비트(Bybit) 해킹 사고는 바로 이 공격을 통해 발생했다.

금융보안원 관계자는 “가상자산거래소 해킹은 대량의 가상자산 탈취로 이어져 큰 피해가 발생한다”며 “해외에서 주로 사고가 일어나고 있으나 국내 역시 공격 대상이 될 수 있으므로 블라인드 서명 방지 및 이상거래탐지시스템(FDS) 강화 등 다양한 방안으로 보안 수준을 제고해야 한다”고 강조했다.

이어 “기존 금융권에서도 최근 원화 기반 스테이블 코인이나 블록체인 사업을 추진하는 인력이 늘고 있다”며 “이들을 대상으로 새로운 유형의 피싱 공격에 대비할 수 있는 맞춤형 교육을 진행할 필요가 있다”고 덧붙였다.