세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
가상화폐 광풍이 불러온 ‘채굴 악성코드’의 진화
  |  입력 : 2017-11-22 20:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
올해 7월부터 가상화폐 마이닝 프로그램 이용한 범죄 기승
사용자 PC에 상주해 채굴하거나 웹사이트 혹은 사이트 배너에 숨겨 몰래 채굴


[보안뉴스 원병철 기자] 비트코인이 연일 상한가를 치고 다른 가상(암호)화폐 역시 가치가 가파르게 상승하면서 전 세계는 지금 가상화폐 열풍에 휩싸였다 해도 과언이 아니다. 문제는 이러한 가상화폐의 가치가 상승하면서 관련 범죄도 함께 증가하고 있다는 사실이다. 특히, 최근에는 비트코인을 채굴하는 ‘마이닝 프로그램’, 즉 마이너를 악성코드처럼 사람들의 PC에 숨겨두고 채굴하도록 한 뒤 수익을 올리는 범죄가 기승을 부리고 있다.

▲ 광고 배너에서 확인된 비트코인 멀티 공격[자료=제로서트]


비트코인 등 가상화폐를 얻는 방법은 가상화폐 거래소에서 구입하는 방법도 있지만, 직접 시스템을 갖춰놓고 이른바 ‘채굴(마이닝: Mining)’하는 방법도 있다. 채굴용 PC는 암호화된 데이터를 풀기 위해 CPU보다 GPU(Graphic Processing Unit), 즉 그래픽카드(Graphic Card)의 역할이 더 중요하기 때문에 가상화폐 채굴 붐이 불면서 전 세계에 그래픽카드 값이 몇 배로뛰어올랐을 정도다.

문제는 어느 정도 수익을 올릴 정도로 채굴하려면 1~2대의 PC로는 어렵고, 시스템을 운영하기 위한 전기세도 가정용 전기로는 감당하기 어렵다는 점이다. 이 때문에 자금 동원이 가능한 사람들은 수십, 수백 대의 시스템을 갖춰놓고 채굴장을 만들어 운영하는 경우도 있고, PC방에서 업종을 변경해 채굴방으로 운영하는 사례도 종종 있다. 심지어 PC방의 채굴을 지원하기 위한 솔루션이 시장에 등장하기도 했다.

이처럼 개인용 PC와 가정용 전기로 가상화폐 채굴이 어렵게 되자, 다른 사람의 PC에 채굴 프로그램을 몰래 설치하고 채굴된 가상화폐는 자신의 전자지갑으로 전송하는 범죄가 등장하기 시작했다. 즉, 다른 사람의 PC 자원을 이용해 ‘가상의’ 대규모 채굴장을 만드는 셈이다.

사실 이러한 범죄는 하루 이틀 일은 아니다. 이미 해외에서는 이러한 범죄가 여러 건 벌어졌으며, 이를 ‘크립토재킹(Cryptojacking)’이라고 부르고 있다. 크립토재킹은 프로그램의 취약점을 이용해 채굴 프로그램을 몰래 PC에 설치한 후 작업하는 방법과 함께 웹 브라우저나 브라우저 광고에 자바스크립트를 심어 채굴하도록 하는 방법을 주로 사용한다.

▲ 멀티 공격에 이용된 취약점 코드[자료=제로서트]


크립토재킹은 지난 7월 러시아 푸틴 대통령의 인터넷 담당 보좌관이 방송에서 러시아 전체 컴퓨터의 30% 가량이 비트코인 채굴 바이러스에 감염됐다고 말하면서 국제적으로도 큰 이슈가 됐다.

국내에서도 지난 7월부터 피해사례가 하나둘씩 발견됐다. 지난 7월 6일 경 한 보안관련 카페에 토렌트 사이트에 성인 유틸로 위장한 비트코인 마이너가 유포되고 있다는 글이 올라왔다. 다행히 대부분의 백신이 악성코드로 탐지하고 차단했지만, 백신을 사용하지 않는 PC의 경우 감염되어 자신도 모르게 비트코인을 채굴하고 있을 가능성이 높다.

10월에는 자기도 모른 채 PC에서 비트코인 마이너가 돌아가고 있다는 글도 올라왔다. 별로 하는 작업이 없음에도 CPU 점유율이 높아져 원인을 찾던 중 ‘taskmon.exe’와 ‘wdf.exe’라는 파일이 CPU를 50% 이상 점유하며 실행되고 있다는 내용이었다. 작성자는 바이러스토탈에서 확인해보니 어떤 곳은 멀웨어, 어떤 곳은 비트코인 마이너로 진단했다고 설명했다.

또 같은 10월에 비트코인 마이너 트로이목마인 ‘Novo Optimizer Gpu Miner’에 감염됐다는 글도 올라왔다. 자료를 찾으러 해외 사이트를 방문했다가 갑자기 CPU와 램 사용량이 급증하는 것을 보고 감염사실을 확인했다는 네티즌은 원인을 찾고 보니 Novo Ping Service, Novo Optimization Service, Windows Driver service 등 3개의 프로세스를 발견했고, 결국 비트코인 마이너라는 것을 최종 확인했다고 말했다.

▲ 피싱 사이트에서도 이용되는 비트코인 마이너[자료=제로서트]


위협 정보 대응 전문 서비스를 제공하는 제로써트(ZeroCert) 측은 “비트코인을 채굴하기 위해서는 해당 프로그램을 PC에 설치하는 방식과 자바스크립트 기반 홈페이지에서 채굴하는 두 가지가 이용되고 있다”면서 “각각 진행되는 형태에서 최근 사이버 범죄에서는 두 가지 모두 혼합하는 등 비트코인 채굴율을 높이기 위해 변화되는 모습이 관찰되고 있다”고 설명했다.

이렇듯 기존 사용자 PC의 취약점을 악용해 비트코인 악성코드를 설치하는 동시에 홈페이지 접속 또는 광고 배너를 이용해 사용자 PC의 CPU를 악용하는 멀티 공격이 감행되고 있다는 것. 이와 함께 다양한 사이버 범죄와 함께 비트코인 채굴이 혼합되는 형태가 성행할 가능성이 높다고 강조했다.

제로써트는 이러한 공격으로부터 안전하려면 OS, 인터넷 브라우저, 어도비 플래시 플레이어, 자바, 백신 등 설치된 어플리케이션의 업데이트를 주기적으로 확인하는 동시에 유해한 사이트의 접속을 피하고 불필요한 광고를 차단하는 것이 좋다고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)