이스트시큐리티 시큐리티대응센터(ESRC)는 암호화폐 거래소 관계자들과 이용자들을 노린 사이버 공격이 연이어 발생하고 있다고 7월 2일 블로그 공지를 통해 경고했다.
ESRC는 해킹 조직인 라자루스(Lazarus), 김수키(Kimsuky), 금성121(Geumseong121) 등의 활동이 연이어 감지되고 있으며 이들이 암호화폐 거래소 관계자들을 노리고 있는 것으로 보인다고 밝혔다.
ESRC는 라자루스 그룹에 의해 수행된 공격이 얼마 전 텔레그램 메신저로 ‘진실겜.xls’ 악성 파일을 유포했던 사례처럼 암호화폐 거래자들을 노리고 있다고 지적했다. ESRC는 ‘쉐어하우스 임대사업’이라는 제목의 이메일이 6월 27일 오전 10시 경부터 유포됐는데 공격 대상이 암호화폐 거래소 이용자들이었다는 것이다.
ESRC는 악성코드 이메일에 담긴 첨부파일을 사용자가 실행할 경우 취약점 코드가 작동하면서 이용자 몰래 백그라운드로 악성코드가 작동한다고 지적했다.
ESRC는 6월 20일에도 라자루스 그룹이 암호화폐 투자계약서를 사칭한 이메일 공격을 시도했다고 설명했다. ESRC는 최근 한국을 대상으로 집중적인 사이버 공격이 진행되고 있다며 기밀 정보탈취 목적의 사이버 첩보행위와 함께 비트코인 등 암호화폐 거래자를 노린 공격이 진행되고 있어 주의가 필요하다고 지적했다.
암호화폐 거래소 업비트가 구글 검색 시 가짜 업비트 사이트가 나타나고 있다고 사용자들에게 주의를 당부했다.
업비트는 7월 2일 저녁 고객들에게 보낸 이메일을 통해 “구글 검색 엔진을 통해 ‘upbit’, ‘업비트(혹은 djqqlxm)’ 검색 시 업비트 피싱 사이트가 일부 노출되고 있다”고 밝혔다.
업비트는 이에 대응하기 위해 지속적으로 구글 담당자에게 연락, 신고 작업을 통해 조치를 하고 있지만 해당 피싱사이트에서 범인들이 URL 주소와 검색 키워드를 변경해 구글에 광고를 집행하고 있어 피싱 사이트가 계속해서 노출되고 있다고 경고했다.
업비트는 회원들이 구글 등 검색엔진을 통해 업비트에 접속할 경우 반드시 업비트 URL 주소(https://www.upbit.com)를 확인해야 한다고 당부했다.
업비트는 해당 가짜 사이트가 로그인 외 어떠한 기능도 작동하지 않으며 카카오 계정 로그인 페이지 역시 피싱사이트로 만들어져 있다고 설명했다. 만약 해당 사이트에 로그인 정보를 입력할 경우 업비트 로그인 정보가 유출될 수 있다는 것이다.
업비트는 고객들이 로그인을 할 경우 반드시 주소를 확인해야 하며 주소가 다른 사이트의 경우 절대로 로그인을 해서는 안 된다고 지적했다. 또 업비트는 사이트 로그인 과정에서는 카카오페이 인증은 필요하지 않다며 업비트 로그인 도중 혹시 카카오페이 인증 요청이 왔을 경우 반드시 카카오페이 인증 요청 메시지를 확인해야 한다고 당부했다.
ⓒ 더노디스트(TheNodist), 무단 전재 및 재배포 금지
기사 제보 및 보도 자료 : press@kr.thenodist.com