실시간 뉴스



[단독]1년전 빗썸 해킹, '워터링홀' 공격에 당했다


암호화폐 커뮤니티 사이트에 악성코드 심어 초기 침투

[아이뉴스24 김국배 기자] 지난해 암호화폐거래소 빗썸에서 200억원어치의 암호화폐를 탈취한 해킹 공격은 '워터링 홀(watering hole)’ 공격을 통한 악성코드가 빌미가 된 것으로 드러났다.

워터링 홀 공격은 사자가 물웅덩이에 매복해 먹잇감을 기다리듯 공격 대상이 자주 방문하는 웹사이트에 미리 악성코드를 심어둔 뒤 접속을 기다리는 수법이다. 1년 전 빗썸 해킹 공격에서는 암호화폐 커뮤니티 사이트가 그 대상이 됐다.

4일 경찰 등에 따르면 지난해 6월 발생한 빗썸 해킹 사고는 분석결과 워터링 홀 공격에서 시작된 것으로 잠정 결론을 내렸다. 경찰청 사이버안전국과 한국인터넷진흥원(KISA)이 이번 사고를 분석했다.

 [사진=아이뉴스24]
[사진=아이뉴스24]

빗썸을 공격한 해커는 지난해 3월말에서 4월초 사이 암호화폐 커뮤니티 사이트를 통한 워터링 홀 공격으로 악성코드를 유포했다.

해당 사이트의 액티브X 취약점을 악용해 악성코드를 심었고, 이 사이트를 방문한 빗썸 직원PC를 감염시켜 빗썸 외부망 초기 침투에 성공한 것으로 알려졌다. 이후 내부 IT감사팀의 PC까지 점령했다. 비교적 보안통제가 적고 접근 권한이 많은 PC를 찾은 것으로 보인다.

해커는 곧이어 망연계 시스템을 해킹해 내부 운영 디지털 저작권 관리(DRM) 서버에 '웹셸' 악성코드를 설치하며 내부망까지 침투했다.

내부망에 교두보를 마련한 해커는 외주직원 PC를 침해한 뒤 데이터센터(IDC)로 들어가는 관문에 해당하는 게이트웨이 서버를 해킹해 IDC 내 30여대 코인서버에서 209억원 상당의 코인을 탈취했다.

전문가들은 이번 공격의 수준을 매우 높게 보고 있다.

익명을 요구한 보안업계 관계자는 "해커는 망 구성은 물론 DRM 서버와 게이트웨이 서버 취약점까지 사전에 알고 들어간 것으로 보인다"며 "오랫동안 치밀하게 준비한 공격"이라고 말했다.

그러나 이에 대해 경찰과 KISA 측은 극도로 말을 아끼고 있다.

KISA 관계자는 "아직 조사가 진행중인 사안"이라며 말을 아꼈다.

빗썸 해킹 사고 수사는 계속 진행되고 있는 상황이다. 이 가운데 최근 또다시 빗썸에서 암호화폐가 비정상적으로 출금된 흔적이 발견되기도 했다. 빗썸은 내부자의 소행으로 판단하고 있지만 조심스럽게 해킹 가능성이 제기되는 상황이다.

김국배 기자 vermeer@inews24.com






alert

댓글 쓰기 제목 [단독]1년전 빗썸 해킹, '워터링홀' 공격에 당했다

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스