KISA, 경기남부청·플레인비트·S2W와 ‘포털 피싱 통한 가상자산 탈취 위협’ 합동분석
[보안뉴스 김영명 기자] 최근 개인 가상자산을 탈취하는 피싱 공격이 늘고 있다. 각별한 주의가 요구된다.
▲피싱 이메일 내용[이미지=KISA]
20일 한국인터넷진흥원(KISA)이 경기남부경찰청 등과 함께 발표한 ‘포털사이트 피싱을 통한 가상자산 탈취 위협 분석 결과’에 따르면, 해커는 가상자산 탈취를 총 4단계 시나리오로 진행한다.
1단계는 네이버 카페 및 온라인 커뮤니티에서 정보 수집 및 공격 대상 선별, 2단계는 스피어 피싱 이메일을 통한 쿠키 정보 탈취다. 이후 3단계로 탈취한 계정을 통해 지갑 주소, 개인 키, 시드 문구 등 가상자산 관련 정보를 수집한다. 마지막 4단계는 지갑 잔액 모니터링 및 특정 조건을 충족할 때 자동화된 가상자산을 이체하는 방식으로 진행했다.
앞서, 공격자는 가상자산 탈취 도구를 개발하며 공격을 준비했다. 이들은 가상자산 관리 목적의 크롬 브라우저 확장 프로그램을 검토했다. 이어 가상자산 잔액 모니터링 및 탈취 자동화 코드와 시세조회 코드를 개발했다.
공격자는 공격이 시작되면 가상자산 커뮤니티에 공개된 글을 통해 가상자산 이용자를 선정하고 포털사이트 피싱 메일을 유포한다. 피싱 메일은 신뢰할 수 있는 기관이나 서비스로 위장돼 타깃이 의심 없이 링크를 클릭하거나 개인정보를 입력하도록 유도한다.
사용자는 피싱 메일을 통해 입력한 계정정보가 유출되고 클라우드 저장소에 저장된 지갑정보가 해커에게 노출된다. 해커는 해당 저장소에 일정 금액 이상 가상자산이 존재하는 것을 확인하면 해커의 지갑주소로 전송하는 것으로 예상하고 있다.
▲가상자산 탈취 공격 개요도[이미지=KISA]
KISA는 가상자산 거래자를 대상으로 한 해커의 고도화된 공격에 대응하기 위해 몇 가지 지켜야 할 사항을 공지했다. 먼저 피싱 메일 및 의심스러운 링크에 대한 클릭을 주의하고 모든 접속 URL의 정확성을 철저히 검증해야 한다. 두 번째로 가상자산 계정, 지갑, 이메일의 2단계 인증(2FA)을 활성화해 추가 보안 계층을 적용하는 것이 필요하다. 세 번째로 개인 키 및 시드 문구와 같은 민감 정보를 인터넷에 저장하지 않아야 한다. 네 번째로 의심스러운 도메인과 페이지를 항상 확인하고, 커뮤니티 등 온라인 상에서의 개인정보 노출을 최소화해야 한다. 마지막으로 비정상적인 로그인 시도 및 거래 내역을 주기적으로 확인하는 노력이 중요하다.
KISA 위협분석단 종합분석팀은 “가상자산이 대중화되면서 해커는 랜섬웨어 공격과 같이 금전적 이득을 위해 적극적으로 가상자산 탈취를 노리고 있다”며 “이러한 위협에 효과적으로 대응하기 위해서는 이용자, 거래소, 정부가 긴밀히 협력해 다각적인 보안 강화 대책을 마련해야 한다”고 강조했다.
[김영명 기자(boan@boannews.com)]
[보안뉴스 김영명 기자] 최근 개인 가상자산을 탈취하는 피싱 공격이 늘고 있다. 각별한 주의가 요구된다.
▲피싱 이메일 내용[이미지=KISA]
20일 한국인터넷진흥원(KISA)이 경기남부경찰청 등과 함께 발표한 ‘포털사이트 피싱을 통한 가상자산 탈취 위협 분석 결과’에 따르면, 해커는 가상자산 탈취를 총 4단계 시나리오로 진행한다.
1단계는 네이버 카페 및 온라인 커뮤니티에서 정보 수집 및 공격 대상 선별, 2단계는 스피어 피싱 이메일을 통한 쿠키 정보 탈취다. 이후 3단계로 탈취한 계정을 통해 지갑 주소, 개인 키, 시드 문구 등 가상자산 관련 정보를 수집한다. 마지막 4단계는 지갑 잔액 모니터링 및 특정 조건을 충족할 때 자동화된 가상자산을 이체하는 방식으로 진행했다.
앞서, 공격자는 가상자산 탈취 도구를 개발하며 공격을 준비했다. 이들은 가상자산 관리 목적의 크롬 브라우저 확장 프로그램을 검토했다. 이어 가상자산 잔액 모니터링 및 탈취 자동화 코드와 시세조회 코드를 개발했다.
공격자는 공격이 시작되면 가상자산 커뮤니티에 공개된 글을 통해 가상자산 이용자를 선정하고 포털사이트 피싱 메일을 유포한다. 피싱 메일은 신뢰할 수 있는 기관이나 서비스로 위장돼 타깃이 의심 없이 링크를 클릭하거나 개인정보를 입력하도록 유도한다.
사용자는 피싱 메일을 통해 입력한 계정정보가 유출되고 클라우드 저장소에 저장된 지갑정보가 해커에게 노출된다. 해커는 해당 저장소에 일정 금액 이상 가상자산이 존재하는 것을 확인하면 해커의 지갑주소로 전송하는 것으로 예상하고 있다.
▲가상자산 탈취 공격 개요도[이미지=KISA]
KISA는 가상자산 거래자를 대상으로 한 해커의 고도화된 공격에 대응하기 위해 몇 가지 지켜야 할 사항을 공지했다. 먼저 피싱 메일 및 의심스러운 링크에 대한 클릭을 주의하고 모든 접속 URL의 정확성을 철저히 검증해야 한다. 두 번째로 가상자산 계정, 지갑, 이메일의 2단계 인증(2FA)을 활성화해 추가 보안 계층을 적용하는 것이 필요하다. 세 번째로 개인 키 및 시드 문구와 같은 민감 정보를 인터넷에 저장하지 않아야 한다. 네 번째로 의심스러운 도메인과 페이지를 항상 확인하고, 커뮤니티 등 온라인 상에서의 개인정보 노출을 최소화해야 한다. 마지막으로 비정상적인 로그인 시도 및 거래 내역을 주기적으로 확인하는 노력이 중요하다.
KISA 위협분석단 종합분석팀은 “가상자산이 대중화되면서 해커는 랜섬웨어 공격과 같이 금전적 이득을 위해 적극적으로 가상자산 탈취를 노리고 있다”며 “이러한 위협에 효과적으로 대응하기 위해서는 이용자, 거래소, 정부가 긴밀히 협력해 다각적인 보안 강화 대책을 마련해야 한다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
