사용자 PC에 가상화폐 채굴 프로그램을 몰래 설치해 한 달에 2억원이 넘는 수익을 얻은 공격이 발견됐다.
카스퍼스키랩은 최근 공격자들이 가상화폐 채굴 프로그램을 사용자 PC에 몰래 설치하는 봇넷을 이용해 막대한 수익을 얻고 있다고 18일 밝혔다. 알려진 바에 따르면 공격자 중에서는 악성코드에 감염된 봇넷 PC 5000대를 이용해 한 달 약 20만달러(약 2억2500만원)의 수익을 올린 사례가 있었으며, 4000대의 PC로 3만달러(약 338만원)의 수익을 올린 사례도 있었다.
비트코인 가격 급등하며 사이버 공격자 몰려
비트코인 등 가상화폐의 아키텍처에서는 암호화 가상화폐를 구입할 수 있을 뿐 아니라, 특수한 ‘채굴’ 소프트웨어가 설치된 컴퓨터를 활용해 새로 가상화폐 유닛(코인)을 생성할 수도 있다.
암호화 가상화폐의 개념에 따르면 코인을 많이 생산할수록 새 코인 생성에 필요한 시간이 늘어나고 더 많은 컴퓨팅 성능을 요구한다. 공격자들은 피해자 컴퓨터에 가상화폐 채굴 소프트웨어를 몰래 설치해 부당이득을 취해왔다.
그러나 채굴된 비트코인이 많아질수록 새로운 비트코인의 채굴은 점점 더 어려워졌으며, 일정 시점에 이르면 이러한 프로세스가 무용지물이 됐다. 악성 코드 제작과 유포, 후방 인프라 지원에 상당한 규모의 투자가 필요하지만 비트코인 채굴을 통해 금전적 이득을 거둘 가능성이 그 보다 높지 않기 때문이다.
그러나 비트코인의 가격은 최근 몇 년 동안 코인당 수백 달러에서 수천 달러로 급격히 치솟아 전 세계적으로 본격적인 ‘암호화 가상화폐 열기’에 불을 붙였다. 수많은 열혈 사용자 그룹과 신생기업이 비트코인을 대체할 자체 가상화폐의 출시에 착수했으며, 이들 중 다수는 비교적 짧은 시간에 상당한 시장 가치를 확보하기도 했다.
가상화폐 시장에서의 이러한 변화에 결국 사이버 범죄자들도 관심을 기울이게 되었고, 현재 이들은 수많은 PC에 가상화폐 채굴 프로그램을 몰래 설치하는 한편으로 다시금 사기 범죄 쪽으로 눈길을 돌리고 있다.
애드웨어 이용해 봇넷 전파
카스퍼스키랩 전문가들의 최근 연구 결과에 따르면 새롭게 발견된 봇넷 배후에 있는 사이버 범죄자들은 피해자가 자발적으로 설치하는 애드웨어 프로그램을 이용해 가상화폐 채굴 소프트웨어를 유포하고 있다고 한다.
애드웨어 프로그램은 피해자의 컴퓨터에 설치된 후 채굴 소프트웨어 설치 프로그램과 같은 악성 구성요소를 다운로드한다. 다운로드된 구성요소는 가상화폐 채굴 소프트웨어를 설치할 뿐 아니라, 채굴 소프트웨어가 가급적 오래 작동할 수 있게 한다. 예를 ㄷ르어 보안 소프트웨어를 무력화하고, 채굴 소프트웨어 복사본이 항상 하드 드라이브에 남아있도록 확인하고 삭제된 경우 복구한다.
채굴된 코인은 즉시 범죄자가 소유한 전자 지갑으로 전송되며, 피해자는 이상하게 컴퓨터의 성능이 저하되면서 전기요금이 평소보다 약간 더 높아지는 현상을 경험하게 된다.
Zcash·Monero 가상화폐 채굴 몰려
카스퍼스키랩에서 관찰한 바로는 보통 범죄자들이 채굴하는 가상화폐는 Zcash와 Monero의 두 종류이다. 특별히 이들 가상화폐를 택한 것은 거래와 전자 지갑 소유주의 익명 처리가 안정적이기 때문이라고 분석했다.
악성 채굴 프로그램이 다시 고개를 들기 시작한 첫 징후가 포착된 시기는 2016년 12월이다. 한 연구원의 보고서 내용을 살펴보면 1000대 이상의 컴퓨터가 악성 코드에 감염돼 2016년 10월 말에 출시된 암호화 가상화폐인 Zcash를 채굴하고 있었다고 한다.
당시 Zcash의 가격이 급상승 중이었기 때문에 이 봇넷은 1주일에 6000 달러에 육박하는 금액을 소유주에게 가져다 줄 수 있었다. 새로운 채굴 봇넷의 출현도 이때 예견되었으며, 최근의 연구 결과로 당시의 예측이 옳았던 것이 확인됐다.
이창훈 카스퍼스키랩코리아 지사장은 “가상화폐 악성 채굴 프로그램이 큰 문제가 되는 것은 이러한 프로그램의 활동을 탐지하기가 굉장히 어려우며, 악성코드는 합법적인 채굴 소프트웨어를 사용하기 때문”이라며 “악성 채굴 프로그램은 지하 시장에서 가치가 높아지고 있다. 정식 버전을 구매할 의사만 있으면 누구라도 자체 채굴 봇넷을 생성할 수 있게 해주는 소프트웨어, 즉 이른바 채굴 프로그램 제작 툴을 제공하는 범죄자도 있다. 이런 추세를 미루어 보면 최근에 확인된 봇넷으로 그치지 않고 앞으로 더 많은 봇넷이 생겨날 것”이라고 말했다.
대체로 최근 몇 년 동안 가상화폐 채굴 프로그램을 접한 사용자의 수는 급격히 증가했다. 예를 들어 2013년에 이러한 유형의 위협에 노출되었지만 카스퍼스키랩 제품을 통해 보호 받은 사용자 수는 전 세계적으로 20만 5000명 내외였다. 그러나 2014년이 되자 그 수는 70만 1000명으로 증가했고, 2017년 1~8월의 기간 동안 공격을 받은 사용자 수는 165만 명에 달했다.
카스퍼스키랩 연구팀의 조언에 따르면, 자신이 사용하는 컴퓨터가 열심히 일해 범죄자에게 돈을 벌어다 주며 전기를 낭비하는 좀비 컴퓨터로 변하는 것을 막으려면 PC와 서버에 신뢰할 수 있는 보안 소프트웨어를 설치하며, 의심스러운 소프트웨어를 설치하지 않아야 한다고 조언했다.
