40만 달러 가까이 없어져...DNS 정보 조작해 트래픽 우회시켜
코인이 20개 이상 있는 지갑만 훔쳐...공격자 정체는 아직 못 밝혀

[보안뉴스 문가용 기자] 암호화폐 지갑이 또 털렸고, 범죄자들은 40만 달러에 달하는 수익을 올렸다. 이번 사건이 발생한 건 스텔라 루멘(Stellar Lumen)이라는 코인이 보관되는 지갑인 블랙월렛(BlackWallet)이다. 해커들은 지갑이 호스팅 된 서버를 침해해 DNS 기록을 조작함으로써 사용자들이 자신들에게 돈을 보내도록 해 큰돈을 훔쳐내는 데 성공했다고 한다.


[이미지 = iclickart]

이와 같은 사실은 레딧(Reddit)이라는 온라인 커뮤니티에서 블랙월렛의 관리자라고 주장하는 한 사람이 글을 올리면서 알려졌다. “블랙월렛이 침해당했습니다. 누군가 저희의 호스팅 서비스 제공업체를 침해한 뒤 저희 계정에 접근했습니다. 이런 일이 일어나게 된 것에 대해 진심으로 사과드립니다. 없어진 돈을 되찾기 위해 전력을 다하겠습니다. 현재 저희는 호스팅 업체와 대화를 진행 중에 있으며, 해커에 대한 정보를 최대한 많이 얻어 수사망를 좁혀갈 생각입니다.”

또한 이 ‘관리자’는 “블랙월렛의 키를 어딘가에 입력한 적이 있다면 새로운 지갑을 만들어 돈을 전부 그리로 옮기시는 것을 추천한다”고도 말했다. 그러나 “블랙월렛은 계정 뷰어였을뿐이고 키를 서버에 저장하고 있지는 않았다”고 덧붙여 돈 외에 더 많은 것들이 탈취 당했을 가능성은 없다는 뉘앙스를 풍기기도 했다.

해외 보안 전문 매체인 SC미디어(SC Media)는 토마스 피셔(Thomas Fischer)라는 전문가의 말을 인용해 “이번 사건은 매우 흥미롭다”고 설명한다. 그의 말을 인용하자면 다음과 같다.
“DNS 하이재킹을 응용한, 영리한 공격 방법이 목격됐습니다. 난이도가 높은 공격은 아닙니다만 이러한 기법을 영리하게 활용한 것이죠. 공격자들은 먼저 소셜 엔지니어링 공격법을 활용해 호스팅 제공업체의 로그인 정보를 얻어냈고, 이를 통해 정상 지갑 주소로 가는 트래픽을 자신들이 만든 악성 사이트로 옮겨버렸어요.”

그런데 재미있는 부분은 더 나온다고 한다. “지갑 내 보관되어 있는 코인들을 실제로 다른 곳으로 옮기는 데 동원된 멀웨어는 더 신기해요. 왜냐하면 지갑의 크기를 보고 공격 대상을 정하고 있거든요. 정확히는 20 스텔라 루멘 코인 이상을 보유한 지갑만 털어갔습니다. 암호화폐 거래소나 지갑 호스팅 업체에 있어 무시하거나 모니터링을 소홀히 해야 할 요소란 단 하나도 없다는 것이 이번 사건이 주는 교훈입니다. 웹 서버나 애플리케이션 서버를 모니터링하는 건 물론 DNS도 굉장히 중요하다는 게 드러났죠.”

또 다른 보안 전문가인 스티븐 무어(Stephen Moore)는 “단순 크리덴셜 탈취로 인한 공격으로 이번 사건을 바라봐서는 안 된다”고 주장한다. “ID와 비밀번호로만 뭔가를 보호하려는 건 이제 대단히 위험한 생각이며 구시대적인 발상입니다. 게다가 큰 돈이 움직이는 암호화폐 관련 서비스 업체라면 제일 먼저 버려야 할 마음가짐이기도 합니다. 다중인증이나 맥락적 정보를 포함한 인증 시스템을 갖춰야 합니다.”

네트워크 환경의 중요 요소들의 환경설정이 바뀌는 부분에 대해서도 민감하게 반응해야 한다. 계정들의 비정상적인 활동 사항 역시 모니터링함으로써 이상한 현상이 발생했을 때 곧바로 알 수 있어야 피해가 최소화될 수 있기도 하다. 이런 보안의 장치들이 마련되지 않으면 블랙월렛과 같은 피해 사례는 계속해서 생길 것이라고 무어는 경고했다.

스텔라 루멘 코인은 XLM이라고도 축약해서 표기되며, 최근 가치가 229%나 뛰어오르는 등 새롭게 주목받고 있는 암호화폐다. 현재는 아홉 번째로 규모가 큰 암호화폐로 알려져 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>