세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
드라이브바이 크립토재킹, 새로운 범죄 수익 모델
  |  입력 : 2017-11-09 11:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
암호화폐 채굴에 필요한 건 큰 컴퓨팅 파워...예전엔 봇넷으로 해결
코인하이브의 획기적인 JS마이너...범죄자들의 활용도 높아져


[보안뉴스 문가용 기자] 사이버 범죄자들이 새로운 수익 모델을 개발해 사용 중에 있다. 바로 암호화폐 채굴이다. 이 기술의 이름을 ‘드라이브바이 크립토재킹(driveby cryptojacking)’이라고 하는데, 공격자들이 브라우저를 기반으로 한 암호화폐 채굴 기술을 사용자나 웹사이트 관리자 몰래 발동시키는 것을 말한다. 이에 대해서 최근 보안 업체 멀웨어바이츠(Malwarebytes)가 조사해 발표했다.

[이미지 = iclickart]


암호화폐 채굴은 그 옛날 ‘골드 러시’와 여러 모로 흡사하다. 그리고 채굴 행위 자체는 합법이다. 다만 골드 러시에 각종 장비가 필요했듯이, 암호화폐 채굴에도 막대한 컴퓨팅 파워가 소요된다. 땅을 파는 대신 여러 수학식을 계산하는 것이라는 차이는 있지만.

멀웨어바이츠의 수석 분석가인 제롬 세구라(Jerome Segura)는 “해커들이 모자란 컴퓨팅 파워를 충당하기 위해 일반 사용자들의 컴퓨터를 노리기 시작했다”고 말한다. 이런 행위의 통로가 되는 건 다름 아니라 브라우저다.

브라우저를 통해 암호화폐를 채굴한다는 건 무슨 뜻일까? “간단한 자바스크립트 라이브러리를 삽입하는 겁니다. 이런 스크립트를 자바스크립트 마이너(JavaScript Miner) 혹은 JS마이너(JSMiner)라고 부릅니다. 사실 이 스크립트는 코인하이브(Coinhive)라는 업체가 9월 중순에 개발해 발표한 것으로 웹사이트 운영자들이 광고료 대신 수익을 얻을 수 있게끔 만든 것이었습니다. 웹 운영비를 벌려고 광고를 여기저기 붙여놓는 대신 방문자의 컴퓨팅 파워를 빌려쓰는 것이죠. 이 개념을 해커들이 빌려 쓰기 시작한 겁니다.”

암호화폐를 불법적으로 채굴하는 행위는 2011년부터 시작됐다. 비트코인이 탄생하고 얼마 지나지 않아서부터다. 하지만 작년까지만 해도 불법 채굴자들은 일반 사용자들의 컴퓨터에 침투해 기기 자체를 그들 모르게 채굴에 활용하는 방법을 사용했다. 즉 피싱 공격을 통해 사용자들이 악성 첨부 파일을 받게 하거나 악성 웹페이지에 접속하도록 해서 채굴용 멀웨어를 다운로드 받게 유도한 것이다.

그렇게 멀웨어를 여러 컴퓨터에 심어 놓고 봇넷을 꾸린 후 채굴에 필요한 수학식을 계산하는 데에 사용했다. 본드넷(Bondnet)이라는 봇넷은 1만 5천 대의 컴퓨터 및 기기들을 거느리기도 했다. 한 대 한 대를 보면 일반적인 컴퓨터일 뿐이지만, 만 단위 규모로 모으면 만만치 않은 컴퓨팅 파워를 보유할 수 있게 된다.

“이런 와중에 코인하이브가 혁명적인 기술을 들고 시장에 나타납니다. 자바스크립트를 삽입함으로써 브라우저로, 합법적으로 채굴을 하는 것이 바로 그것입니다. 처음에는 모네로라는 암호화폐만을 위한 기술이었지요. 지금 해커들은 모든 종류의 암호화폐에도 적용 가능하도록 했지만요. 코인하이브는 웹사이트 방문자가 배너 광고를 보도록 만드는 대신, 전기세를 조금 부담하도록 한 것입니다.”

하지만 코인하이브의 방식이 아무리 합법적이어도 논란이 없지 않았다. 사용자에 따라 배너 광고를 선호할 수도 있기 때문이다. 그래서 코인하이브는 새로운 API를 개발해 웹사이트 운영자들이 사용자에게 배너 광고나 전기세 중 하나를 선택할 수 있도록 혹은 암호화폐 채굴에 대한 허락을 구할 수 있도록 해두었다.

“이런 걸 사이버 범죄자들이 놓칠 리가 없죠. 코인하이브의 기술을, 자신들이 침해한 사이트들에마다 주입하기 시작했습니다. 특히 콘텐츠 관리 서비스인 워드프레스나 마젠토가 많이 당했습니다. 당연히 사용자의 동의를 구하는 절차 따위는 없었고요. 사이트에 침해해 자바스크립트 코드 몇 줄 이식하는 건 그들에게 식은 죽 먹기이며, 피해자들의 눈에 잘 띄지도 않습니다. 안성맞춤인 방법을 찾은 것입니다.” 그러므로 사용자들의 체류 시간이 긴 웹사이트일수록 해커들의 표적이 되기 쉽다고 세구라는 경고한다.

드라이브바이 크립토재킹 기법이 더 교묘한 건, 보안 전문가들이 대응해야 할 것들 중 시급한 것으로 분류되지 않기 때문이다. “다른 사이버 공격에 비해 피해 정도가 미비합니다. 전기세 몇 푼 내는 거, 기업들에겐 아무 것도 아닐 수 있고요. 그러니 해커들 입장에선 마음 놓고 시도할 수 있는 겁니다.” 하지만 이 역시 보안 전문가들이 적극 막아야 할 사이버 범죄 행위라고 그는 주장한다.

“피해 자체는 적을 수 있어요. 하지만 이런 식으로 암시장 내 사이버 범죄 산업 자체가 성장하고 있다는 걸 간과해서는 안 됩니다. 이렇게 돈을 두둑하게 번 공격자들이 나중에 어떤 툴을 가지고 우릴 노려올지 모르는 겁니다. 크립토재킹 공격은 활시위를 당기는 것과 같습니다. 우리 쪽으로 아직 뭔가 날아오지는 않습니다만, 활시위를 놨을 때 치명적인 것이 우리 등에 꼽힐 수 있습니다. 지금부터 막아야합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)