이스트시큐리티 개인

​​

최근 마치 과거 써미츠(SUMMITZ) 코인 피해자에 대한 대체불가능토큰(바카라 꽁 머니) 보상 공지 내용처럼 위장한 북한 연계 해킹 공격이 국내서 발견돼 각별한 주의가 요구됩니다.

​​

[그림 1] 써미츠(SUMMITZ) 코인 피해자 바카라 꽁 머니 토큰보상공지를 위장한 피싱 메일

바카라 꽁 머니 코인 사기 피해는 지난 2018년 전후 마치 국내 대기업의 기술력이 투자된 코인 발행처럼 위장해, 여러 투자자를 불러 모아 사기행각을 벌인 사건입니다. 당시 대기업 총수 일가도 투자에 참여한 것 마냥 사람들을 현혹해 투자금을 늘렸지만, 실제 대기업 기술력 투입이나 협약 체결과는 전혀 무관한 사실무근으로 밝혀지며, 고스란히 투자자의 피해로 이어졌습니다.

당시 바카라 꽁 머니 공동대표는 특정경제범죄 가중처벌 등에 관한 법률 위반으로 실형을 선고받아 수감 중인 것으로 알려져있습니다.

한편, 이번에 새로 발견된 공격은 과거 써미츠 관련 투자에 참여했거나, 바카라 꽁 머니 보상에 호기심을 가진 인물, 비트코인 보유자 등을 표적으로 삼았습니다. 공격자는 '[알림]SUMMITZ코인피해자 바카라 꽁 머니토큰보상공지' 제목의 이메일과 마치 써미츠 고객관리부서가 본사차원에서 2,506명의 피해자 대상으로 진행하는 바카라 꽁 머니보상 공지처럼 위장하여 유포하였습니다.

​

[그림 2] 계정정보 입력을 요구바카라 꽁 머니 피싱 페이지

메일 본문에는 '바카라 꽁 머니보상플랜.pdf' 첨부파일에 보상 명부 내용을 담고 있으니 해당 여부를 파악 후 답변을 보내도록 유도하며, 만약 수신자가 첨부파일 부분을 클릭하면 본인확인을 이유로 비밀번호 입력을 유도하는 피싱 페이지(private-banking-group[.]com)로 접속됩니다. 만일 이곳에 정보를 입력할 경우 입력한 계정정보는 공격자의 서버로 전송됩니다.

아울러 해당 인터넷 사이트의 주소와 실제 내부 웹 페이지에 바카라 꽁 머니나 비트코인 관련 내용을 담고 있어, 얼핏 정상 사이트로 볼 수 있지만, 현재 해킹 목적으로 악용 중인 상태이므로 접근을 제한하고 차단해야합니다.

ESRC는 이번 사건 조사 과정에서 공격자가 'sslnaver[.]online', 'cdndaum[.]online' 도메인 활용 정황을 포착했고, 해당 도메인 등록자 정보 중에 'lion.simba21@protonmail[.]com' 주소 사용 이력을 파악했습니다.

또, 공격자는 바카라 꽁 머니보상 안내로 위장한 수법뿐만 아니라, 대북 종사자 상대 포털 고객센터 사칭 공격에 'private-banking-group[.]com' 주소가 복수로 동일하게 사용된 점도 확인하였습니다.

[그림 3] 동일한 도메인으로 또 다른 공격에 사용된 사례

이들은 수년간 포털사 고객센터처럼 위장해 탈북민이나 외교·안보·통일 분야 종사자 등에게 끈질긴 바카라 꽁 머니 공격을 전개 중인데, 대표적으로 'navers[.]online', 'navers[.]store', 'naveos[.]online', 'naveos[.]website', 'com-silver[.]site', 'com-pass[.]online', 'com-password[.]link', 'com-info[.]store', 'com-checking[.]link', 'confirm-pw[.]link', 'com-share[.]bar', 'nonghyup[.]website', 'com-gstatic[.]link', 'jiia[.]tokyo' 등의 도메인을 피싱에 사용했고, 일부 주소의 등록 정보에 'fullget888@gmail[.]com' 이메일이 쓰였다. 이 주소들은 배후가 북한으로 지목된 사이버 위협 사례에서 포착되었습니다.

이번 공격은 지난 2월 국내 지상파 방송국 공격과 일본 국제문제연구소 사칭 공격, 3월의 건강검진 증명서 발급 위장 공격 포함, 모두 北 연계 일명 KGH 캠페인 일환으로 확인되었으며, 최근 탈북 어민 북송 관련 남북 정치 현안 등 북한 인권 전문가와 외교·안보·국방 분야 교수 등을 노린 공격이 고조되고 있어 국가안보 차원의 사이버 보안 강화 실천이 필요한 상황입니다.

현재 이스트시큐리티 ESRC는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있습니다.

​

​

​