모네로 채굴하는 ‘코인하이브’ 해킹, 웹사이트 수천 곳 피해 입어

웹사이트 방문자 CPU 파워로 암호화 화폐 채굴하는 수익 모델
구 비밀번호 이용해 클라우드플레어 계정 해킹하고 DNS 조작

[보안뉴스 오다인 기자] 웹사이트 방문자의 개별 CPU 파워를 이용해 암호화 화폐를 채굴하는 서비스 ‘코인하이브(Coinhive)’가 23일 오후 10시경 해킹 공격에 당했다. 공격자는 해킹이 적발되기 전 약 6시간 동안 코인하이브를 사용하는 수천 개 웹사이트에서 모네로(Monero)를 가로챈 것으로 나타났다.

[이미지=iclickart]

코인하이브는 암호화 화폐가 각광받으면서 등장한 새로운 웹사이트 수익 모델로, 웹사이트 방문자의 CPU 파워를 이용해 암호화 화폐를 채굴하는 서비스를 말한다. 구체적으로, 암호화 화폐 모네로를 채굴하도록 짜인 자바스크립트를 웹사이트에 삽입해놓고, 누군가 웹사이트를 방문할 때마다 그 사람의 개별 CPU 파워를 활용해서 채굴을 수행하게 만든 것이다.

공격자는 코인하이브의 클라우드플레어(CloudFlare) 계정을 탈취한 뒤, 코인하이브의 DNS 서버를 조작하고 코인하이브의 공식 자바스크립트 코드를 악성 코드로 바꿔치기 한 것으로 추정된다. 이에 코인하이브 코드를 사용하던 수천 개의 웹사이트가 해커를 위해 모네로를 채굴한 셈이 됐다.

24일 블로그를 통해 코인하이브는 “그리니치 평균시(GMT)로 10월 23일 22시경 코인하이브의 DNS 제공업체인 클라우드플레어의 계정에 공격자가 접근했다”며 “DNS가 ‘coinhive.com’에서 ‘coinhive.min.js’라는 서드파티 서버로 요청을 리디렉션하도록 조작됐다”고 밝혔다. 이어 “이 서드파티 서버는 하드코드된 사이트 키와 함께 조작된 자바스크립트 파일을 호스트하고 있었다”고 덧붙였다.

이에 따라, 코인하이브 스크립트를 사용하고 있던 수천 개의 웹사이트가 6시간 동안 해커가 조작한 코드를 로딩하게 됐다.

코인하이브는 자사의 클라우드플레어 계정이 해킹된 것은 오래된 비밀번호를 바꾸지 않았기 때문이라고 인정했다. 해커는 2014년 2월 크라우드 펀딩 서비스 업체 킥스타터(Kickstarter)가 해킹되면서 유출된 비밀번호를 코인하이브의 클라우드플레어 계정 해킹 시 재사용한 것으로 보인다.

코인하이브는 “보안의 중요성에 대해 귀한 교훈을 얻었다”면서 “모든 서비스를 이용함에 있어 이중인증을 비롯해 고유한 비밀번호를 사용하도록 노력해왔지만 클라우드플레어 계정을 업데이트 하는 것에 대해선 수년째 잊어버리고 있었다”고 시인했다.

한편, 지난 달 코인하이브는 유명 토렌트 사이트 파이럿 베이(Pirate Bay)가 사용자 몰래 코인하이브를 사용해서 수익을 냈다는 사실이 드러나면서 세간의 이목을 끌기도 했다. 승인 없이 사용자의 CPU 파워를 이용해서 암호화 화폐를 채굴하는 서비스에 대한 논란은 향후 가열될 것으로 보인다.

코인하이브는 이번 사건으로 고객이 입은 손실에 대해 보상할 방법을 찾고 있는 중이라고 밝혔다.
[국제부 오다인 기자(boan2@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)