사이버 공격자의 잇템 ‘암호화폐’
상태바
사이버 공격자의 잇템 ‘암호화폐’
  • 김선애 기자
  • 승인 2018.08.14 10:21
  • 댓글 0
이 기사를 공유합니다
파이어아이 “공격자, 안정적인 수익 얻을 수 있는 암호화폐 ‘선호’…익명성 보장되는 ‘모네로’ 인기”

사이버 공격도 유행이 있다. 공격 목표에 맞춰 공격 도구와 방법을 정밀하게 설계하고 개발하는 지능형 타깃공격과 악성코드 자동 제작 도구를 이용해 새로운 악성코드를 쏟아낸 APT, 공격자에게 직접적인 수익을 안겨주는 랜섬웨어가 유행했다.

지난해부터는 컴퓨팅 리소스를 훔쳐 암호화폐를 직접 채굴하는 ‘크립토마이닝’이 유행하고 있다. 크립토마이닝이 새로운 공격자의 수익원으로 각광받는 이유는 안전하기 때문이다. 공격자는 피해자 컴퓨터를 사용하지만 직접적인 금전 피해를 주지는 않는다. 피해자는 감염됐다는 사실조차 인지하지 못하며, 법의 저촉도 피할 수 있다. 암호화폐가 사라지지 않는 이상, 수익을 낼 수 있다는 것도 강력한 유혹이 된다.

파이어아이가 발표한 ‘크립토마이닝 분석 보고서’에서는 “암호화폐 채굴은 다른 형태의 사기나 절도에 비해 법의 눈을 피할 수 있다는 인식 때문에 더 선호되는 것으로 보인다. 심지어 피해자도 자신의 컴퓨터가 시스템 성능이 저하된 것이 아니라 감염이 되었다는 것을 인지하지 못하는 경우도 있다”고 설명했다.

추적 불가능한 ‘모네로’, 범죄자들이 선호

이 보고서에서는 사이버 범죄자들이 크립토재킹, 크립토마이닝 등 암호화폐 관련 범죄에 집중하고 있다고 분석하고 있다. 크립토마이닝은 피해자의 컴퓨팅 리소스를 무단으로 이용해 암호화폐를 채굴하는 공격이며, 크립토재킹은 크립토마이닝을 포함해 암호화폐 지갑 크리덴셜 수집, 암호화폐 강탈 등의 공격을 포괄한다.

암호화폐에 대한 공격자의 관심은 2009년부터 시작됐으며, 2017년 급격하게 증가한다. 크립토마이닝 공격자들이 가장 선호하는 암호화폐는 모네로(Monero)이다. 모네로는 사용자의 공개키를 섞어 특정 사용자를 식별하지 못하게 하고 사용자를 추적 불가능하게 만드는 기술을 갖고 있다.

또한 고유한 일회용 주소를 다량 생성하는 프로토콜을 사용하는데, 결제수령인만 연결 가능하고, 블록체인 분석을 통한 공개가 불가능하다. 모네로 결제를 암호로 보호하는 동시 외부와 연결되지 않도록 해 안전을 보호한다.

이러한 특징 때문에 일부 보안 전문가들은 모네로가 특정 국가에서 정치자금을 마련하기 위해 주도하고 있다고 분석하기도 한다.

▲암호화폐 채굴에 가장 영향 받은 나라 1~10위

사이버 범죄자의 암호화폐 채굴기 분산 기술

파이어아이 보고서는 사이버 범죄자가 이윤을 극대화하기 위해 ▲기존 봇넷과 크립토재킹 모듈의 통합 ▲드라이브 바이 크립토재킹 공격 ▲크립토재킹 코드를 포함하는 모바일 앱 사용 ▲스팸 또는 자전(self-propagating) 도구를 통한 크립토재킹 유틸리티 배포 등,다양한 기술을 사용하여 채굴기를 널리 분산시킨다고 설명한다.

이러한 크립토재킹에 흔히 사용되는 장치로는 사용자 엔드포인트 머신, 기업 서버, 웹사이트, 모바일 기기, 산업 통제 시스템이 있다.

◆클라우드에서의 크립토재킹= 민간기업 뿐 아니라 정부기관도 데이터와 애플리케이션을 클라우드로 이동시키고 있으며, 사이버 위협 조직 역시 동일한 움직임을 보인다. 최근에는 클라우드 인프라를 대상으로 암호화폐 채굴을 하는 사이버 공격자에 대한 각종 보고도 확인할 수 있다.

클라우드 인프라는 높은 CPU 사용량과 전기 요금이 예상되기에 공격자가 눈에 띄지 않고 많은 공격을 가할 수 있으며, 처리 능력이 뛰어난 환경인지라 클라우드 인프라를 크립토재킹 공격대상으로 삼는 공격자가 증가하고 있다. 파이어아이는 공격자들이 앞으로도 기업들이 공동으로 사용하는 전산 리소스를 노리고 기업의 클라우드 네트워크를 노릴 것으로 예상한다.

◆기존 봇넷에 크립토재킹 통합= 파이어아이 아이사이트 인텔리전스는 드라이덱스(Dridex), 트릭봇(Trickbot) 등 여러 유명 봇넷이 기존 운영시스템에 암호화폐 채굴공격까지 통합하는 것을 발견했다.

◆브라우저 기반(In-Browser) 드라이브 바이 크립토재킹 기술= 파이어아이 아이사이트 인텔리전스는 브라우저 기반의 암호화폐 채굴에 대한 다양한 고객 사례를 조사한 결과, 위협을 받은 웹사이트 및 제3자를 통한 광고 플랫폼에서 브라우저 기반의 채굴 스크립트를 발견했다.

이러한 스크립트는 웹 퍼블리셔가 합법적으로 웹사이트에 심은 것으로, 채굴 스크립트는 웹페이지의 소스코드에 직접 삽입될 수 있지만 주로 제3의 웹사이트를 통해 심어진다. 그러나 손상된 웹사이트 경우와 같이, 웹사이트 퍼블리셔의 인증을 받지 않은 코인 채굴 스크립트가 존재할 수 있기에 코인 채굴 코드가 포함된 웹사이트를 식별 및 탐지하는 작업에는 어려움이 따를 수 있다.

◆악성광고(Malvertising)·익스플로잇 킷(Exploit Kit)= 악성광고는 합법적인 사이트 내 악성 광고를 지칭하며, 흔히 사이트를 방문하는 사용자를 익스프로잇 킷 랜딩 페이지로 리다이렉트한다. 이러한 랜딩페이지는 시스템 내 취약점을 스캔하고 해당 취약점을 악용해 악성 코드를 시스템에 다운로드하고 실행되도록 설계되어 있다.

◆모바일 크립토재킹= 모바일 기기 대상 암호화폐 채굴은 기기의 처리 능력이 제한돼 흔히 사용하는 방법은 아니다. 그러나 지속적인 전력 소비로 인해 기기가 손상되고 배터리 수명이 크게 단축돼 위협적이다. 파이어아이는 공격자들이 인기 앱스토어에 악성 크립토재킹 앱을 호스팅하고 악성광고 캠페인으로 모바일 유저를 식별해 기기를 공격 대상 삼는다는 것을 발견했다.

◆크립토재킹 스팸 캠페인= 파이어아이 아이사이트 인텔리전스는 스팸 캠페인을 통해 배포되는 여러 암호화폐 채굴기를 발견했다. 이는 악성코드를 무차별적으로 유포하기 위해 흔히 사용되는 방법이다. 파이어아이는 암호화폐 채굴이 수익을 낼 수 있는 한, 공격자는 지속적으로 이 방법으로 크립토재킹 코드를 퍼뜨릴 것으로 예상한다.

◆크립토재킹 웜= 워너크라이 공격 이후, 공격자들은 점차 악성코드에 자전기능(self-propagating functionality)을 통합하기 시작했다.

◆프록시를 사용한 탐지 우회= 주목할만한 또 다른 사이버 공격 트렌드는 탐지를 우회하기 위해 프록시를 사용한다는 것이다. 채굴 프록시 도입은 개발자 및 30% 이상 가량의 수수료를 피할 수 있는 방법이기에 사이버 공격자에게 매력적인 선택지이다.

암호화폐 채굴 피해, 한국 4위

파이어아이 탐지 기술의 데이터에 따르면, 2018년 초부터 암호화폐 채굴 악성코드 발견이 증가했고, 가장 흔한 채굴 풀은 마이너게이트(minergate), 나노풀(nanopool)이었다. 가장 많은 영향을 받은 나라는 미국이며, 한국은 4위를 차지했다. 또한 교육분야가 가장 많이 영향을 받는 분야(사진자료4)로 나타났는데, 이는 허술한 대학 네트워크의 보안통제와 무료 전기 사용을 통해 암호화폐를 채굴하는 학생들 때문이다.

크립토재킹 공격을 피하기 위해서는 DPI 엔진을 설정하는 방안이 제안된다. 채굴자가 풀 마이닝(Pool Mining)에 참여하기 위해서는 감염된 컴퓨터는 ‘스트라텀(Stratum)’ 프로토콜을 사용하는 기본코드나 자바스크립트 기반 코드를 사용해야 한다. 이에 암호화되지 않은 TCP를 통한 스트라텀을 차단하기 위해, 관련 파라미터(parameter)를 확인할 수 있는 ‘심층적 패킷 검사(DPI)’ 엔진을 설정하는 방안이 있다.

HTTPS 대신 스트라텀을 실행하는 자바스크립트 기반 채굴자의 경우, 암호화폐 웹 트래픽(TLS)을 해독하지 않는 DPI 엔진으로는 탐지가 어렵다. 네트워크 상 암호화된 채굴 트래픽을 줄이기 위해서, 조직은 알려진 채굴 풀의 IP 주소와 도메인을 블랙리스트에 추가하는 방법을 쓸 수 있다.

위험한 도메인 접속 차단해야

모든 코인 채굴 스크립트가 웹사이트 퍼블리셔에 의해 승인되지는 않기에 코인 채굴 코드가 삽입된 웹사이트를 식별하고 탐지하는 것은 어렵다. 하지만 지금까지 발견한 가장 흔한 지표 중 일부를 차단하면 고객이 보고한 CPU를 소모하는 채굴 활동의 상당량을 퇴치하는데 효과적일 수 있다.

브라우저 기반 암호화폐 채굴을 탐지하기 위해서는 ▲알려진 위험한 도메인 차단 ▲코인하이브와 같은 채굴 프로젝트 웹사이트 차단 ▲전반적인 스크립트 차단 ▲애드블로커(ad-blocker) 또는 코인 채굴 전용 브라우저 애드온(add-on) 사용 ▲흔히 사용되는 명명 규칙(naming convention) 탐지 ▲유명 채굴 풀로 이어지는 트래픽 경보 및 차단 등의 조치를 취해햐 한다.

브라우저 기반의 크립토재킹 활동에 사용되는 자바스크립트는 디스크의 파일에는 접근할 수 없다. 그러나 호스트가 실수로 채굴 스크립트를 호스팅하는 웹사이트로 이동시킨 경우, 캐시(cashe) 및 기타 브라우저 데이터를 삭제하는 것이 바람직하다.

파이어아이 보고서는 “모네로는 개인정보 중심 기능과 CPU 채굴 수익성 때문에 사이버 범죄자에게 가장 매력적인 암호화폐가 됐다. 만일 모네로 프로토콜의 보안과 개인정보 중심의 기능이 저하될 경우, 사이버 공격자는 다른 개인 정보 중심의 기능이 탑재된 코인으로 이동할 것”이라며 “정부 당국은 악성 암호화폐 채굴의 출처를 밝히기 어렵다. 게다가 이러한 공격 활동 뒤에 숨은 악성 공격자는 일반적으로 신원이 밝혀지지 않는다. 사이버 공격자들은 암호화폐 채굴이 수익성이 있고, 상대적으로 리스크가 계속 낮은 한 지속적으로 높은 관심을 보일 것”이라고 밝혔다.

저작권자 © 데이터넷 무단전재 및 재배포 금지
김선애 기자
김선애 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사