비트코인ㆍ이더리움 노린 해킹 성행…로맨스스캠에 가상자산 투자 사기 더하기도

올 4월 ‘돼지도살’로 1억 1200만 상당 가상자산 피해 발생
악성코드 배포ㆍ플래시론 공격ㆍ투자 유도 피싱 등 탈취
‘2023년 상반기 보안 트렌드 및 AI 보안위협 전망’ 세미나
20일 SK쉴더스 화이트 해커 전문가 그룹 이큐스트 발표

▲이호석 SK쉴더스 EQST 랩 담당이 20일 열린 '2023년도 상반기 보안 트렌드 분석 및 AI 보안 위협 전망' 세미나에서 유형별 침해사고 발생 통계에 대해 설명하고 있다. (임유진 기자 newjean@)

비트코인, 이더리움 등을 노리고 악성코드를 배포해 금융정보를 탈취하는 등 가상자산과 관련한 보안 침해사고가 상당한 것으로 나타났다.

이호석 SK쉴더스 이큐스트(EQST) 랩 담당은 20일 서울 중 SKT타워에서 열린 ‘2023년 상반기 주요 보안 트렌드 및 AI 보안 위협 전망’ 미디어 세미나에서 “가상자산을 노리고 악성코드를 배포해 금융정보를 탈취하는 침해 사고가 2023년 상반기 침해사고 중 국내 12%, 국외 14%를 기록했다”며 이같이 말했다.

올 상반기 대표적인 가상자산 관련 해킹 사건으로는 4월에 일어난 이른바 ‘돼지도살’이 있다. 돼지도살은 개인을 표적 삼은 로맨스 스캠과 암호화폐 투자 사기의 혼종 수법이다. 동남아시아 범죄 조직에 의해 운영되다가 최근에는 미국까지 번졌다. 공격자들이 피해자들과 개인적인 친분 관계를 맺고, 자꾸만 투자 수익을 보게 한 후 피해자들이 점점 더 큰 돈에 욕심을 내게 만들고, 최종적으로 공격자들은 이 돈을 챙겨 사라지는 수법이다. 이에 미국 법무부는 '돼지 도살’ 관련 계정에서 1억1200만 달러 상당의 암호화폐 압수한 바 있다.

이외에 가상자산과 관련한 보안 침해 사고 유형으로 △금융정보 탈취를 위한 악성코드 배포 △플래시론 공격을 통한 지갑정보 탈취 △가상자산 투자 유도 피싱 등이 조사됐다.

인증정보 탈취 시나리오는 피싱(Phishing)이나 평문 로깅(Logging) 취약점으로 타인의 가상자산 인증 정보를 획해 타인의 지갑에 접근하고 자산의 탈취하는 방식이다. 이로 인해 올 상반기에만 피싱으로 122억 원, 평문 로깅으로 80억 원의 피해가 발생했다.

피싱 공격은 공격자가 피싱 지갑 사이트를 배포하고, 피싱 사이트에 니모닉(Mnemonic)을 입력해 지갑을 복구하면, 사용자의 니모닉을 획득하는 수법이다. 공격자는 획득한 니모닉으로 사용자 지갑에 접근해 가상자산을 탈취할 수 있게 된다. 니모닉이란, 지갑을 복구하기 위한 12~24 개의 영단어 그룹을 의미한다. 니모닉은 지갑 최초 생성 시 개설되고, 이후엔 변하지 않는다.

평문 로깅을 통한 방법의 시작은 사용자가 지갑을 복구할 때 니모닉을 입력하면, 지갑에 연결된 이벤트 로깅 플랫폼의 암호화 미흡 취약점으로 로그에 평문으로 니모닉을 기록하게 된다. 이때 공격자가 이벤트 로그에서 니모닉을 획득하면, 획득한 니모닉으로 사용자의 지갑에 접근이 가능해진다.

이호석 담당은 “'니모닉'은 가상자산 지갑에 인증 정보를 복구할 때 쓰는 것으로, 12개의 단어로 이뤄져있어 이 단어만 알면, 인증정보를 확인할 수 있다”며 “니모닉 정보만 탈취하면 쉽게 말해 은행의 계좌번호, 계좌 비밀번호, 이체 조회까지 다 가능해지는 거라 이더리움, 비트코인 등을 다 빼갈 수 있는 것”이라고 설명했다.

가상자산을 탈취하는 방법 중 ‘플래시론’을 악용한 사례들이 조사됐다. 플래시론(Flash Loan) 이란 블록 1개가 생성되는 동안 대출부터 상환까지 완료해야 하는 디파이(DeFi, 탈중앙화 금융) 대출 서비스다. 상반기 최대 피해 사례인 Euler Finance 플래시론 공격은 차익 거래를 통해 가상자산을 빼가는 시나리오를 7번 반복했고, 이를 통해 약 2500억 원의 가상자산을 빼갔다.

이호석 담당은 “플래시론은 눈 깜짝할 새에 무담보로 대출 받는 걸 의미한다”며 “대출 받을 때, 시세차익 받을 때, 비거래소에서 팔 때, 대출 상환할 때 네 번 다 수수료를 지불해야 하는데 플래시론이 수수료가 싸다는 장점이 있지만, 이때 시세차익을 남겨서 가상자산을 탈취할 수 있다”고 지적했다.

그는 “이때 탈취된 자산 중 100ETH가 북한 라자루스 그룹에게 전송된 기록이 발견돼 연관성이 제기되기도 했다”고 덧붙였다.

하반기에도 이같은 유형을 포함한 보안 위협이 늘어날 것으로 전망된다. 이호석 담당은 “하반기에는 공급망 공격이 확장되고, 북한발 해킹도 급증할 것이며 피싱 패턴도 더 다양해질 것”이라고 내다봤다.

SK쉴더스는 이에 대응하기 위해 영역별 전문가 서비스를 제공해 금융, 공공, 기업 등 맞춤형 모의해킹을 실시하고, 블록체인 특화 보안성을 심의할 방침이다.

한편, 올해 화두가 되고 있는 생성형 AI가 보안 영역에서 활용이 가능하지만 아직까지 기술적 한계로 여러 제한이 있는 것으로 나타났다. 이 담당은 “보안 영역에서 AI 활용성은 초·중급 정도 수준”이라며 “위협을 탐지하기 위한 보조도구로 쓰는 게 적절하다”고 말했다.