세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
가상화폐 광풍이 불러온 ‘채굴 악성코드’의 진화
  |  입력 : 2017-11-22 20:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
올해 7월부터 가상화폐 마이닝 프로그램 이용한 범죄 기승
사용자 PC에 상주해 채굴하거나 웹사이트 혹은 사이트 배너에 숨겨 몰래 채굴


[보안뉴스 원병철 기자] 비트코인이 연일 상한가를 치고 다른 가상(암호)화폐 역시 가치가 가파르게 상승하면서 전 세계는 지금 가상화폐 열풍에 휩싸였다 해도 과언이 아니다. 문제는 이러한 가상화폐의 가치가 상승하면서 관련 범죄도 함께 증가하고 있다는 사실이다. 특히, 최근에는 비트코인을 채굴하는 ‘마이닝 프로그램’, 즉 마이너를 악성코드처럼 사람들의 PC에 숨겨두고 채굴하도록 한 뒤 수익을 올리는 범죄가 기승을 부리고 있다.

▲ 광고 배너에서 확인된 비트코인 멀티 공격[자료=제로서트]


비트코인 등 가상화폐를 얻는 방법은 가상화폐 거래소에서 구입하는 방법도 있지만, 직접 시스템을 갖춰놓고 이른바 ‘채굴(마이닝: Mining)’하는 방법도 있다. 채굴용 PC는 암호화된 데이터를 풀기 위해 CPU보다 GPU(Graphic Processing Unit), 즉 그래픽카드(Graphic Card)의 역할이 더 중요하기 때문에 가상화폐 채굴 붐이 불면서 전 세계에 그래픽카드 값이 몇 배로뛰어올랐을 정도다.

문제는 어느 정도 수익을 올릴 정도로 채굴하려면 1~2대의 PC로는 어렵고, 시스템을 운영하기 위한 전기세도 가정용 전기로는 감당하기 어렵다는 점이다. 이 때문에 자금 동원이 가능한 사람들은 수십, 수백 대의 시스템을 갖춰놓고 채굴장을 만들어 운영하는 경우도 있고, PC방에서 업종을 변경해 채굴방으로 운영하는 사례도 종종 있다. 심지어 PC방의 채굴을 지원하기 위한 솔루션이 시장에 등장하기도 했다.

이처럼 개인용 PC와 가정용 전기로 가상화폐 채굴이 어렵게 되자, 다른 사람의 PC에 채굴 프로그램을 몰래 설치하고 채굴된 가상화폐는 자신의 전자지갑으로 전송하는 범죄가 등장하기 시작했다. 즉, 다른 사람의 PC 자원을 이용해 ‘가상의’ 대규모 채굴장을 만드는 셈이다.

사실 이러한 범죄는 하루 이틀 일은 아니다. 이미 해외에서는 이러한 범죄가 여러 건 벌어졌으며, 이를 ‘크립토재킹(Cryptojacking)’이라고 부르고 있다. 크립토재킹은 프로그램의 취약점을 이용해 채굴 프로그램을 몰래 PC에 설치한 후 작업하는 방법과 함께 웹 브라우저나 브라우저 광고에 자바스크립트를 심어 채굴하도록 하는 방법을 주로 사용한다.

▲ 멀티 공격에 이용된 취약점 코드[자료=제로서트]


크립토재킹은 지난 7월 러시아 푸틴 대통령의 인터넷 담당 보좌관이 방송에서 러시아 전체 컴퓨터의 30% 가량이 비트코인 채굴 바이러스에 감염됐다고 말하면서 국제적으로도 큰 이슈가 됐다.

국내에서도 지난 7월부터 피해사례가 하나둘씩 발견됐다. 지난 7월 6일 경 한 보안관련 카페에 토렌트 사이트에 성인 유틸로 위장한 비트코인 마이너가 유포되고 있다는 글이 올라왔다. 다행히 대부분의 백신이 악성코드로 탐지하고 차단했지만, 백신을 사용하지 않는 PC의 경우 감염되어 자신도 모르게 비트코인을 채굴하고 있을 가능성이 높다.

10월에는 자기도 모른 채 PC에서 비트코인 마이너가 돌아가고 있다는 글도 올라왔다. 별로 하는 작업이 없음에도 CPU 점유율이 높아져 원인을 찾던 중 ‘taskmon.exe’와 ‘wdf.exe’라는 파일이 CPU를 50% 이상 점유하며 실행되고 있다는 내용이었다. 작성자는 바이러스토탈에서 확인해보니 어떤 곳은 멀웨어, 어떤 곳은 비트코인 마이너로 진단했다고 설명했다.

또 같은 10월에 비트코인 마이너 트로이목마인 ‘Novo Optimizer Gpu Miner’에 감염됐다는 글도 올라왔다. 자료를 찾으러 해외 사이트를 방문했다가 갑자기 CPU와 램 사용량이 급증하는 것을 보고 감염사실을 확인했다는 네티즌은 원인을 찾고 보니 Novo Ping Service, Novo Optimization Service, Windows Driver service 등 3개의 프로세스를 발견했고, 결국 비트코인 마이너라는 것을 최종 확인했다고 말했다.

▲ 피싱 사이트에서도 이용되는 비트코인 마이너[자료=제로서트]


위협 정보 대응 전문 서비스를 제공하는 제로써트(ZeroCert) 측은 “비트코인을 채굴하기 위해서는 해당 프로그램을 PC에 설치하는 방식과 자바스크립트 기반 홈페이지에서 채굴하는 두 가지가 이용되고 있다”면서 “각각 진행되는 형태에서 최근 사이버 범죄에서는 두 가지 모두 혼합하는 등 비트코인 채굴율을 높이기 위해 변화되는 모습이 관찰되고 있다”고 설명했다.

이렇듯 기존 사용자 PC의 취약점을 악용해 비트코인 악성코드를 설치하는 동시에 홈페이지 접속 또는 광고 배너를 이용해 사용자 PC의 CPU를 악용하는 멀티 공격이 감행되고 있다는 것. 이와 함께 다양한 사이버 범죄와 함께 비트코인 채굴이 혼합되는 형태가 성행할 가능성이 높다고 강조했다.

제로써트는 이러한 공격으로부터 안전하려면 OS, 인터넷 브라우저, 어도비 플래시 플레이어, 자바, 백신 등 설치된 어플리케이션의 업데이트를 주기적으로 확인하는 동시에 유해한 사이트의 접속을 피하고 불필요한 광고를 차단하는 것이 좋다고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)