SK쉴더스의 화이트해커 전문가 그룹인 이큐스트(EQST)가 가상자산을 탈취하기 위한 사이버 공격이 다양해지고 있다고 경고했다. 고객의 인증 정보를 탈취하거나 상대를 속여 금품을 갈취하는 스캠, 거래소나 대출기업을 대상으로 한 해킹 공격 모두가 이에 해당된다.
가상자산 탈취 공격 더 다양해졌다
이호석 SK쉴더스 이큐스트(EQST) 랩 담당은 20일 서울 중구 SK T타워에서 미디어 세미나를 열고 "올해 상반기 금융 정보 탈취를 목적으로 하는 악성코드 배포, 가상자산을 노리는 공격이 지속됐다"고 밝혔다. 올해 상반기 가상자산을 노리고 악성코드를 배포해 금융정보를 탈취한 침해사고는 국내 전체 발생 건수의 12%를 차지했다.
가상자산과 관련된 사이버 공격 시나리오는 다양하다. 대표적으로 개인의 가상자산 지갑을 복원할 때 사용할 수 있는 키워드인 '니모닉'을 활용하는 경우가 있다. 니모닉은 12개의 키워드로 이뤄져 있는데, 이것만 알면 지갑 내에 있는 이더리움, 비트코인 등의 가상자산을 자유롭게 빼갈 수 있다. 해커들은 피싱 사이트나 이벤트 로그를 통해 니모닉 정보를 획득하는데, 올해도 이러한 수법을 통해 약 80억원에 달하는 피해 사례가 발생했다.
올해 상반기에는 로맨스 스캠과 가상자산 투자 사기의 혼종 수법인 '돼지 도살' 기법이 이슈가 됐다. 공격자가 피해자와 친밀감을 형성한 후 가상자산 투자를 유도하고, 초반에 수익을 내도록 한 뒤 투자 규모를 키워 연락을 중단하는 방식이다. 돼지 도살과 관련된 가상자산은 약 1억1200만달러(1400억원)에 달한다.
디파이(탈중앙화금융)에서 흔히 이용되는 '스마트 컨트랙트(계약)' 기반 서비스인 '플래시론'을 활용한 해킹 피해도 늘어나고 있다. 플래시론은 일종의 무담보 가상자산 대출을 의미한다. 블록을 생성하는 짧은 시간 내에 대출과 상환이 이뤄지는 초단기 거래다.
플래시론을 활용한 공격의 경우 스마트 컨트랙트의 취약점을 공격해 이익을 취한다. 올해 3월 2억 달러(2500억원)를 탈취당한 가상자산 대출업체 오일러 파이낸스가 그 예다. 오일러 파이낸스는 공격자를 더 추적하지 않는 조건으로 약 90%를 회수했으나 나머지 10%는 돌려받지 못했다.
이 나머지 10% 중 80%에 달하는 100개의 이더리움은 북한 해커조직 라자루스 그룹에 전송된 걸로 추정된다. 이호석 랩 담당은 "이 가상자산은 회수되지 않아 배후에 북한이 있지 않느냐는 이야기가 지속적으로 나오고 있다"고 말했다.
하반기 북한發 사이버공격 늘어날 것
올해 하반기 위험 요소로는 북한의 대규모 사이버 공격이 늘어나고 있다는 점을 꼽았다. 북한 해커조직 라자루스나 김수키 등은 외화벌이를 목적으로 해킹하거나 랜섬웨어를 유포하는 공격을 진행하는데, 특정 타깃을 목표로 하는 스피어 피싱과 악성코드 기능을 고도화시키고 있다. 이호석 담당은 "국정원 등과 서로 정보를 공유하면서 보완 활동을 하고 있는데, 외부에 알릴 수는 없지만 북한의 해킹이 점점 늘어나고 있다"면서 "대규모 공격이 하반기에도 일어날 것"이라고 말했다.
생성형 인공지능(AI)를 활용한 피싱 공격 또한 새로운 위험으로 부상하고 있다. 영상 합성이나 음성을 복제하는 딥보이스 기술로 아이의 목소리를 빌려주고 돈을 요구하는 보이스피싱 사례가 늘어나고 있기 때문이다. 이호석 담당은 "5초 가량의 음성만 있으면 특정인의 목소리를 따서 원하는 말을 만들어낼 수 있는데 아직은 발음이 어눌하고 언어가 부정확하다"면서 "딥보이스에 대한 연구가 활발히 이뤄지고 있다"고 말했다.
또한 생성형 AI를 활용하는 과정에서 기밀정보가 유출될 수 있다고도 지적했다. 생성형AI를 활용하면 서버에 대화 기록이 저장된다. 만일 서버가 해킹당한다면 관련 정보가 고스란히 유출될 수밖에 없다. 이에 삼성전자, 애플의 사례에서 알 수 있듯 산업계에서는 정보 유출을 우려해 챗GPT를 비롯한 생성형 AI 사용을 금지하는 경우가 점차 늘고 있다. KT를 비롯한 일부 ICT 기업은 생성형 AI를 업무적인 용도로만 사용하도록 제한하기도 한다.
이호석 담당은 "챗GPT를 사용하다가 PC를 종료하고 다시 집에 가서 실행할 수 있지 않나. 결국 서버에 다 저장된다는 이야기"라면서 "대화 기록을 저장해서 기계적으로 학습을 시키는데, 잘못 학습이 되어버리면 공공재처럼 누구나 다 쓸 수 있는 데이터가 된다. 보완 대책으로는 특화된 AI 모델을 개발해 사용하는 것을 추천한다"고 말했다.
