Press "Enter" to skip to content

빗썸 해킹 수법 (가상화폐 해킹 유형) 및 해킹 예방 방법

2017년 6~7월 전후로 국내 최대 가상화폐(암호화화폐) 거래소 빗썸(bithumb.com)이 대규모 해킹사태가 일어났습니다. 현재 가상화폐 해킹 피해자들은 겟백코인(getbackcoin.com) 이라는 소송 준비를 위한 홈페이지를 만들고 피해자들을 모아 소송 준비중에 있다고합니다. 해킹피해자들이 밝힌 내용에 따르면 최대 몇십억원의 자산을 해킹당한 사람도 있으며 빗썸은 무책임하고 안일하게 대응하고 있다고 호소합니다. 대대적인 해킹 사태 이후 빗썸은 고객이 접속할 때마다 해당 아이디가 PC 및 모바일로 로그인 되었음을 알리는 문자알람서비스를 제공하고 있지만 빗썸은 아직도 안전하지 않다는 여론이 많습니다. 빗썸의 대표적인 해킹 수법을 살펴보면서 동시에 해킹 예방 방법을 정리해보도록 할게요.

해킹 피해 사례 정리

A. 보이스피싱 (대놓고 물어보는 경우)

유출된 아이디, 패스워드를 이용해 로그인 한 후, 고객에게 전화를 걸어 출금을 위한 정보를 요구하는 경우입니다.

해킹범들의 흔한 레파토리는 해외에서 의심스러운 접속기록이 발견되었다거나 혹시 지금 출금 신청을 한적이 있느냐며 전화를 걸어옵니다. 발신 전화번호는 빗썸 공식 고객센터번호(1661-5566/02-1661-5566)가 아닌  02로 시작되는 서울 유선 전화번호이거나, 070으로 시작되는 인터넷전화번호로 전화가 걸려옵니다.

통화 중에 피해자가 실제로 빗썸에 로그인해보면, 내가 구입한 코인이 아닌, 비트코인이나 이더리움 등으로 코인이 바뀌어있는 등, 실제 구매내역과는 다른, 해킹범이 제멋대로 구입한 코인 보유현황이 화면에 뜹니다.

특정 코인을 판매, 구매 하는 데에는 OTP나 문자인증번호가 필요없기때문에 아이디 패스워드만 해커에게 뚫려도 해커가 로그인해서 이런 상황을 충분히 연출할 수 있었던겁니다.

이런 급박한 상황 연출로 피해자를 불안하게 만든 후 피해자 스스로가 ‘인증번호’를 말하도록 유도합니다. 가상화폐거래소에서 계정에 있는 코인 혹은 원화(krw)를 출금을 하기 위해서는 인증번호가 필요하기 때문에 해킹범들이 이 인증번호를 요구하는겁니다. 빗썸 홈페이지에서 해킹범 본인들의 코인 지갑주소에 출금신청을 하고 전송된 인증번호를 요구합니다.

인증번호를 요구하는 명목은 ‘해외 아이피 차단’ 혹은 ‘거래중지’ 를 위해 필요한 인증절차라며 인증번호를 불러달라합니다. OTP를 통해 이중보안 설정을 해놓은 분들에겐 OTP 인증번호를, OTP 설정을 하지 않은 분들께는 문자인증 번호를 알려달라고 요구합니다. 피해자가 인증번호를 말해주는 순간, 해커는 외부 지갑주소(해커 지갑)로 출금해갑니다.

보이스피싱으로 당한 분들은 상담원을 사칭한 사람이 너무나도 자연스러운 서울말을 구사했다고 합니다. 어눌한 연변말투가 아닌 또렷한 서울 말투였다고 합니다. 그리고 전화를 먼저 끊으면 계속해서 전화를 걸어오며 다그치는 등 집착하는 모습을 보였다고 합니다.

예방 방법 :

B. 통신사해킹

통신사해킹유형(1) 착신전환

가상화폐 거래소 계정과 동일하게 휴대폰 통신사 홈페이지 계정을 사용하고 있었다면 해커 일당에게 표적이 되기 쉽습니다. 해커는 통신사 홈페이지에 빗썸과 동일한 아이디 비밀번호를 입력 후 접근에 성공하면, 대포폰으로 착신전환하여 출금시 필요한 문자 인증번호를 받아볼 수 있습니다.

통신사와 동일한 아이디 비밀번호를 쓰지않고 있다하더라도 통신사에 ‘위조 신분증’을 제출하고 새 패스워드를 설정한 이메일정보를 수정하여, 통신사 홈페이지 비밀번호를 재발급. 그 후 위와 동일한 방법으로 코인을 빼내간 경우가 많습니다.

통신사해킹유형(2) 스팸설정

1번의 경우와 유사하게 우선 통신사 홈페이지에 접근 한 후, 빗썸 공식전화번호 및 각종 인증수단의 전화번호들(나이스 ID 인증번호, 한국모바일인증번호 등)을 ‘스팸설정’합니다. 스팸 설정하면 스팸메세지함에 저장되게되는데 이는 통신사 사이트에서 스팸으로 들어온 메세지를 확인할 수 있습니다. 이를 이용해서 가상화폐 출금을 시도합니다.

통신사해킹유형(3) 휴대폰 분실신고

핸드폰을 ‘분실’했다며 통신사에 연락하여 분실처리하는 동시에 ‘위조신분증’을 제출한 뒤, 착신을 해커의 대포폰으로 ‘임시폰’ 연결시킵니다.

위조신분증은 이미 유출된 개인정보에 본인의 사진을 합성하는 방법으로 만듭니다. 대포폰에 연결하면 모든 전화와 문자를 해커가 낚아채기할 수 있는데, 인증번호를 직접 받기때문에 대포폰으로 OTP설정도 가능하며 문자인증번호를 받아 출금이 가능합니다. 대포폰으로 OTP설정을 한 경우, 정작 본인은 OTP에 접근할 수 없게 됩니다.

해킹 목적의 가상화폐 커뮤니티를 통한 해킹

가상화폐(암호화화폐)는 초기 시장이며 정보를 찾는 유저들이 많다는 점을 이용해서 정보성 커뮤니티 사이트 등을 개설하여 유저들의 가입을 유도합니다. 가입정보들을 암호화하지않고 고객의 비밀번호를 텍스트 형태로 저장해서 개인정보를 빼내는 방식인데요. 커뮤니티 가입 시 이메일 인증 절차를 요구합니다. 해커는 암호화하지않고 저장했던 패스워드로 해당 인증 이메일 주소로 로그인 시도를 합니다. 만약 그 커뮤니티 비밀번호와 이메일 비밀번호가 동일하다면 해커는 이메일에 로그인에 성공할 수 있을 뿐만 아니라 해당 개인정보로 가상화폐 거래소에 로그인을 시도할 수 있습니다.

정리하자면 일당이 해킹하기에는 몇가지 정보만 있다면 너무나 손쉽다는 겁니다. 피해자가 OTP인증을 통한 이중보안을 설정해놓았다 하더라도 무력화시킬 수 있습니다. 해킹 사례 마다 하단에 예방방법을 적어두었지만 사실상 완전한 예방 방법이라고 보기는 어렵습니다. 하지만 유저가 할 수 있는 최선의 방어는 해야겠죠.

 

Be First to Comment

댓글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다