NSA의 이터널블루까지 활용한 암호화폐 채굴 공격

레디스워너마인, NSA의 고난이도 익스플로잇까지 활용
암호화폐 채굴 코드 심기 위한 방법 갈수록 발전할 것

[보안뉴스 문가용 기자] 암호화폐를 겨냥한 사이버 공격인 크립토재킹(crypto-jacking)이 다시 한 번 변화의 시기를 겪고 있다고 보안 업체 임퍼바(Imperva)가 경고했다.

[이미지 = iclickart]

임퍼바는 최근 레디스워너마인(RedisWannaMine)이라는 공격 캠페인을 최근 발견했다. 이 공격은 데이터베이스 서버와 애플리케이션 서버를 모두 노리고 있다. 1세대 크립토재킹 공격의 기능성이 제한적이었다면, 최근 진행되고 있는 크립토재킹 공격은 훨씬 복잡하고 다양한 기능을 수행한다.

“이전 크립토재킹 공격은 암호화폐 채굴 코드나 스크립트를 다운로드 받아 시스템 내에서 실행하도록 유도하는 것이 거의 전부였습니다. 침투 기술 같은 것들도 기초적인 것들만 사용됐죠. 하지만 레디스워너마인과 같은 경우, 웜과 비슷한 기능성을 보여주고 있고 감염 성공률을 높이기 위한 고급 기술도 활용되고 있습니다.”

엉뚱한 사람의 컴퓨터를 사용해 자기를 위해 암호화폐를 채굴하는 것이 크립토재킹 공격의 기본 골자라는 건 변함이 없다. 사이버 범죄자들의 이러한 시도는 지난 3~4개월 동안 급증했다. 암호화폐의 가치가 폭등하고 있는데 사이버 범죄자들이 가만히 넘어갈 리가 없었다. 임퍼바가 조사한 바에 의하면 웹 애플리케이션을 겨냥한 모든 원격 코드 실행 공격의 90%가 바로 암호화폐 채굴 코드와 관련이 있는 것으로 나타났다.

그렇다면 레디스워너마인은 정확히 어떤 점에서 다른 걸까? “두 가지 방법으로 감염을 시도합니다. 먼저는 공개된 레디스(Redis) 서버들을 찾아내고 감염시키기 위한 코드가 실행됩니다. 대규모 IP 주소 목록을 만들고, 6379 포트를 스캐닝합니다. 6379 포트가 레디스의 디폴트 포트거든요.”

그 다음으로 레디스워너마인은 스크립트를 사용해 같은 서버 메시지 블록 취약점을 찾아나선다. 이는 미국의 NSA가 이터널블루(EternalBlue)라는 익스플로잇을 통해 악용해왔던 취약점으로 알려졌다. 서버 메시지 블록 취약점은 워너크라이(WannaCry) 사태의 주범이기도 하다. 이렇게 해서 취약점이 발견되면, 암호화폐 채굴 코드를 전파하기 시작한다.

“즉 레디스워너마인은 데이터베이스 측면의 공격과 애플리케이션 측면의 공격을 모두 함으로써 공격 표면을 넓히고 동시에 성공률도 높이는 겁니다.”

임퍼바는 “크립토재킹 공격은 앞으로도 계속해서 발전할 것”이라고 경고한다. “랜섬웨어도 처음에는 초보적이고 기초적인 협박 공격일 뿐이었습니다. 하지만 지금은 독립적인 범죄 산업으로 자라났죠. 크립토재킹 공격도 비슷한 전철을 밟을 것이라 보입니다. 암호화폐의 가치가 계속해서 올라간다는 전제 하에서요.”
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)