[데이터넷] 암호화폐 모네로(Monero)를 불법 채굴하는 봇넷 ‘스탄틴코(Stantinko)’가 50만여대의 컴퓨터를 감염시킨 것으로 밝혀졌다. 이셋에 따르면 스탄틴코는 2012년부터 러시아, 우크라이나, 벨로루시, 카자흐스탄을 표적으로 활동해왔으며, 최근 모네로 채굴을 통해 범죄 수익을 올리고 있는 것으로 분석됐다.

이들은 오픈소스 채굴 모듈을 변조한 암호화 모듈을 사용하고 있으며, 보안 분석과 탐지를 피햐기 위해 소스 레벨 난독화를 사용한다. 공격마다 컴파일된 변조 모듈을 사용해 시그니처 기반 탐지 기술로 찾을 수 없다. C&C 통신을 은폐하기 위해 마이닝 풀과 직접 통신하지 않고 유튜브 비디오 설명 텍스트에서 얻은 IP 주소 프록시를 이용한다.

피해자가 감염 사실을 인지하지 못하게 하기 위해 PC가 배터리 전원 사용 모드이거나 작업 관리자가 감지하면 채굴 기능을 일시 중단한다. 또한 다른 채굴 프로그램이 컴퓨터에서 실행되고 있으면 중단하며, 실행중인 프로세스를 스캔해 보안 소프트웨어를 감지한다.

블라디슬라브 해카(Vladislav Hrčka) 이셋 멀웨어 분석가는 “스탄틴코는 클릭 사기, 광고 삽입, 소셜 네트워크 사기, 자격 증명 도용 등의 사이버 범죄를 일삼던 조직으로, 최근 모네로 채굴을 통해 범죄 수익을 얻고 있는 것으로 드러났다. 이들은 암호화폐 채굴 봇넷 뿐 아니라 다른 멀웨어도 피해자 PC에 몰래 심을 수 있기 때문에 매우 위험하다”며 “이러한 공격을 방어하기 위해서는 기본 보안 수칙을 준수하고 평판 좋은 보안 솔루션을 사용해야 한다”고 말했다.

한편 이셋의 엔드포인트 보안 솔루션은 ‘가트너 고객 선정 엔드포인트 플랫폼’에 선정됐다. 이 보고서에 참여한 고객은 엔터프라이즈 솔루션을 구입·사용해 본 경험이 있는 IT 전문가와 비즈니스 사용자 등이다. 이셋 제품을 선정한 고객은 구현 용이성, 안정성, 벤더 응답성 적시성, 기술 지원 품질에 높은 점수를 주었다.

김선애 기자 다른기사 보기