세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
모네로 채굴하는 ‘코인하이브’ 해킹, 웹사이트 수천 곳 피해 입어
  |  입력 : 2017-10-26 15:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
웹사이트 방문자 CPU 파워로 암호화 화폐 채굴하는 수익 모델
구 비밀번호 이용해 클라우드플레어 계정 해킹하고 DNS 조작


[보안뉴스 오다인 기자] 웹사이트 방문자의 개별 CPU 파워를 이용해 암호화 화폐를 채굴하는 서비스 ‘코인하이브(Coinhive)’가 23일 오후 10시경 해킹 공격에 당했다. 공격자는 해킹이 적발되기 전 약 6시간 동안 코인하이브를 사용하는 수천 개 웹사이트에서 모네로(Monero)를 가로챈 것으로 나타났다.

[이미지=iclickart]


코인하이브는 암호화 화폐가 각광받으면서 등장한 새로운 웹사이트 수익 모델로, 웹사이트 방문자의 CPU 파워를 이용해 암호화 화폐를 채굴하는 서비스를 말한다. 구체적으로, 암호화 화폐 모네로를 채굴하도록 짜인 자바스크립트를 웹사이트에 삽입해놓고, 누군가 웹사이트를 방문할 때마다 그 사람의 개별 CPU 파워를 활용해서 채굴을 수행하게 만든 것이다.

공격자는 코인하이브의 클라우드플레어(CloudFlare) 계정을 탈취한 뒤, 코인하이브의 DNS 서버를 조작하고 코인하이브의 공식 자바스크립트 코드를 악성 코드로 바꿔치기 한 것으로 추정된다. 이에 코인하이브 코드를 사용하던 수천 개의 웹사이트가 해커를 위해 모네로를 채굴한 셈이 됐다.

24일 블로그를 통해 코인하이브는 “그리니치 평균시(GMT)로 10월 23일 22시경 코인하이브의 DNS 제공업체인 클라우드플레어의 계정에 공격자가 접근했다”며 “DNS가 ‘coinhive.com’에서 ‘coinhive.min.js’라는 서드파티 서버로 요청을 리디렉션하도록 조작됐다”고 밝혔다. 이어 “이 서드파티 서버는 하드코드된 사이트 키와 함께 조작된 자바스크립트 파일을 호스트하고 있었다”고 덧붙였다.

이에 따라, 코인하이브 스크립트를 사용하고 있던 수천 개의 웹사이트가 6시간 동안 해커가 조작한 코드를 로딩하게 됐다.

코인하이브는 자사의 클라우드플레어 계정이 해킹된 것은 오래된 비밀번호를 바꾸지 않았기 때문이라고 인정했다. 해커는 2014년 2월 크라우드 펀딩 서비스 업체 킥스타터(Kickstarter)가 해킹되면서 유출된 비밀번호를 코인하이브의 클라우드플레어 계정 해킹 시 재사용한 것으로 보인다.

코인하이브는 “보안의 중요성에 대해 귀한 교훈을 얻었다”면서 “모든 서비스를 이용함에 있어 이중인증을 비롯해 고유한 비밀번호를 사용하도록 노력해왔지만 클라우드플레어 계정을 업데이트 하는 것에 대해선 수년째 잊어버리고 있었다”고 시인했다.

한편, 지난 달 코인하이브는 유명 토렌트 사이트 파이럿 베이(Pirate Bay)가 사용자 몰래 코인하이브를 사용해서 수익을 냈다는 사실이 드러나면서 세간의 이목을 끌기도 했다. 승인 없이 사용자의 CPU 파워를 이용해서 암호화 화폐를 채굴하는 서비스에 대한 논란은 향후 가열될 것으로 보인다.

코인하이브는 이번 사건으로 고객이 입은 손실에 대해 보상할 방법을 찾고 있는 중이라고 밝혔다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)