“암호화폐 채굴 봇으로 클라우드 요금 폭탄 맞는다”
상태바
“암호화폐 채굴 봇으로 클라우드 요금 폭탄 맞는다”
  • 김선애 기자
  • 승인 2018.04.03 13:03
  • 댓글 0
이 기사를 공유합니다

시만텍 ISTR, 크립토재킹 위협 경고…비즈니스·IoT 장애 일으키고 클라우드 사용량 폭증시켜

암호화폐 채굴 악성코드가 빠르게 증가하면서 기업 네트워크가 중단되거나 클라우드 요금 폭탄을 맞을 수 있다는 주장이 제기됐다. 또한 IoT 기기를 감염시켜 IoT 서비스에 장애를 일으킬 가능성도 나왔다.

시만텍코리아 CTO인 윤광택 상무는 “암호화폐 채굴 악성코드에 감염된 기기는 리소스 사용량이 늘어나고 시스템이 다운되는 등의 피해를 입게 된다. 기업의 주요 시스템 서버가 감염되면 비즈니스에 영향을 미칠 수 있고, 클라우드 CPU를 과다 사용해 요금 폭탄을 맞게 할 수 있다. 또한 보안에 소홀한 IoT 기기를 감염시키면 IoT 서비스 전체에 영향을 미칠 수 있다”고 말했다.

그는 “사이버 범죄자들이 랜섬웨어보다 더 높은 수익을 얻을 수 있는 암호화폐에 눈을 돌리기 시작하면서 암호화폐를 탈취하기 시작했지만 불법적으로 탈취한 암호화폐를 세탁하는데 많은 노력이 필요하기 때문에 직접 채굴에 나선 것으로 보인다. 특히 암호화폐 모네로는 거래 당사자가 아니면 추적이 어렵기 때문에 모네로 채굴에 나선 것으로 보인다”고 말했다.

단 두줄 코드 삽입으로 공격 가능한 ‘크립토재킹’

윤 상무는 3일 시만텍 연례 보안위협 보고서인 ‘인터넷 보안 위협 보고서(ISTR) 제 23호’를 발표하며, 암호화폐 채굴 악성코드를 몰래 설치하는 ‘크립토재킹(Cryptojacking)’ 공격이 지난해 8500% 폭증했다고 설명했다.

크립토재킹은 암호화폐(Cryptocurrency)와 하이재킹(Hijacking)의 합성어로, 범죄자가 개인 사용자 혹은 기업의 컴퓨터와 클라우드에 암호화폐 채굴 악성코드를 설치해 전력과 CPU 리소스를 가로채 암호화폐 채굴에 이용하는 것을 말한다.

단 두 줄의 코드 삽입만으로도 운용이 가능해 진입장벽이 낮다. 사용자 모르게 시스템에 설치된 암호화폐 채굴 악성코드는 기기를 느려지게 하고 배터리 과열을 일으키며, 경우에 따라 사용 불가 상태로 만들기도 한다. 기업의 경우, 암호화폐 채굴 악성코드로 인해 기업 네트워크가 중단될 수 있으며, 클라우드 CPU 사용량을 상승시켜 높은 사용요금이 부과될 수 있다.

최근 브라우저를 기반으로 한 크립토재킹 공격이 크게 증가하면서 지난 해 12월 기업보다 개인이 소유한 기기에서 암호화폐 채굴 악성코드가 2배 많이 탐지됐다. 이는 암호화폐 채굴 작업이 동영상 스트리밍 사이트와 같이 오래 머무르는 사이트에서 효과적이기 때문에 기업보다는 개인사용자들에게 더 영향이 있었을 것으로 분석된다.

▲숫자로 본 2017 보안 위협(자료: 시만텍 'ISTR 제 23호')

한국 타깃 공격 전 세계 6위…러시아 8위

한편 ISTR에서는 지난해 발생한 표적공격 중 우리나라를 노리는 공격이 전 세계에서 6번째로 많은 것으로 나타났다. 1위는 미국이었으며, 그 다음은 인도가 차지했다. 3위는 일본이었으며, 러시아는 8위, 중국은 순위에 없었다.

윤 상무는 “표적공격은 경제적인 이유, 혹은 정치적인 목적으로 진행되며, 전체 공격의 71%가 이메일을 이용한 스피어피싱으로 진행된다. 표적 공격 그룹이 기업과 조직에 침투하기 위해 이미 검증된 전술들을 이용하는 경향이 계속되면서, 제로데이 공격은 인기가 시들해지고 있다”고 설명했다.

소프트웨어 공급망을 감염시켜 대량의 피해를 일으키는 공격은 지난해 12건 발견됐으며, 올해도 역시 심각한 위협이 될 것으로 예상된다. 범죄자는 공인된 소프트웨어의 업데이트를 하이재킹 해 업데이트를 실행하는 사용자의 시스템 및 네트워크를 2차 공격한다. 이와 같은 방법으로 공격자들은 보안이 뛰어난 네트워크를 공격할 수 있는 진입 경로를 확보할 수 있게 된다.

이러한 공급망 공격의 가장 대표적인 사례가 2017년 발생한 페트야/낫페트야 악성코드다. 페트야는 우크라이나 회계 소프트웨어를 진입 경로로 이용해 다양한 방법으로 기업 네트워크 전반에 악성코드를 확산·유포한 바 있다.

시만텍, 모바일 악성코드 매일 2만4000개 차단

ISTR에서는 모바일 악성코드의 심각성도 경고했다. 지난해 신규 모바일 악성코드 변종의 수가 2016년 대비 54% 증가했다. 시만텍은 지난 해 매일 평균 2만4000개의 악성 모바일 애플리케이션을 차단했다. 문제를 더 심각하게 만드는 것은 오래된 운영 체제가 계속 사용되고 있다는 점이다. 실제로, 안드로이드 OS의 경우 최신 버전 업데이트 기기는 20%이며, 최신 마이너 버전까지 업데이트한 기기는 단 2.3%에 불과하다.

완전히 악성은 아니지만 문제를 일으킬 여지가 있는 그레이웨어(grayware) 앱 또한 모바일 사용자의 개인 정보 보안을 위협하고 있다. 시만텍 조사 결과 그레이웨어 앱의 63%가 기기의 전화번호를 유출한 것으로 나타났다. 2017년 그레이웨어는 20%나 증가했으며, 이 문제는 계속될 것으로 보인다.

2016년 극성을 부린 랜섬웨어는 2017년 다소 조정시기를 거친 것으로 보이며, 이제는 일상적인 악성코드로 자리잡은 것으로 보인다.

윤 상무는 “암호화폐 가치가 높아지자 공격자들은 랜섬웨어로 암호화폐를 벌어들이는 것이 아니라 개인 사용자 암호화폐 지갑이나 거래소를 해킹하거나 크립토재킹으로 암호화폐를 직접 벌어들이는 것으로 선회한 것으로 보인다”며 “공격자들은 수익을 얻기 위한 목적 뿐 아니라 표적공격을 위해, 혹은 공격 흔적을 지우기 위해 랜섬웨어를 사용하는 것으로 보인다”고 설명했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.