최근 블록체인 기반 신원 확인 서비스 '휴머니티 프로토콜'에서 피싱 수법으로 최대 3천600만 달러(540억 원)를 털어간 해커들이 북한과 연계됐을 것이라는 분석이 제기됐다.

15일(현지시간) 미국의 북한 전문 매체 'NK프로'는 휴머니티 프로토콜의 의뢰로 이번 사건을 조사한 블록체인 보안업체 '퀀트스탬프'가 이같은 결론을 내렸다고 전했다.

근거로는 과거 북한 작전을 연상시키는 도구와 전술이 사용됐다는 들었다.

퀀트스탬프는 구체적 사이버범죄 조직의 이름은 특정하지 않았다.

보도에 따르면 공격자들은 탈취한 인증 정보를 이용해 서비스에 침투한 뒤 이달 8일 휴머니티(기호 $H) 토큰 약 1억 4천118만 개를 옮기고 블록체인 플랫폼 'BNB 스마트 체인'(BSC·옛 이름 바이낸스 스마트 체인)에서 약 1억 개의 추가 통화를 무단 발행했다.

공격자들이 훔친 $H 토큰의 총량은 1억 9천361만 7천148개다.

이번 피싱 해킹은 인간의 심리와 실수를 노리고 특정인을 상대로 공략 방식을 설계하는 '표적형 사회공학 공격' 방식으로 이뤄졌다.

해커들은 한국 암호화폐 거래소 빗썸과 연락을 주고받고 있던 휴머니티 프로토콜 이사 한 명에게 빗썸을 사칭해 피싱 이메일을 보냈다.

이 이사는 지난 5일 첨부파일을 열고 파일을 작성한 뒤 회사 동료를 참조 명단에 넣어 답장을 보냈다.

첨부된 압축파일이 열리자 한글과컴퓨터와 연계된 인증서로 디지털 서명된 악성코드 로더가 배포됐고 해커들은 이를 통해 표적으로 삼은 휴머니티 프로토콜 이사의 컴퓨터를 원격으로 조종할 수 있게 됐다.

한글과컴퓨터의 독자 파일 형식은 북한 사이버 범죄자들이 표적 컴퓨터에 침투하는 데 자주 악용해 온 것으로 알려져 있다고 NK프로는 전했다.

이번 사건은 13일 회사가 공개한 보고서를 통해 외부에 알려졌다.

첫 절도 후 8시간 이내에 공격자들은 유니스왑, 팬케이크스왑 등 탈중앙화 거래소를 이용해 훔친 자금을 새로 만든 지갑들로 흘려보내 수익을 챙겼다.

사건 보고서가 공개된 13일 기준으로 공격자들이 통제하는 지갑에는 2천100만 달러(318억 원)가 넘는 이더리움이 들어 있었고, BSC에서 나온 수익은 여전히 추적중인 상태였다.

휴머니티 프로토콜은 이더리움 토큰 계약은 공격자들이 통제하지 못하는 다중서명 지갑을 통해 동결됐다고 밝혔다.

다만 공격자들이 BSC에서는 관리자 권한을 보유하고 있어, 휴머니티 프로토콜이 접근을 차단하기 전까지 추가 토큰 발행 가능성이 있다고 설명했다.