세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
NSA의 이터널블루까지 활용한 암호화폐 채굴 공격
  |  입력 : 2018-03-12 15:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
레디스워너마인, NSA의 고난이도 익스플로잇까지 활용
암호화폐 채굴 코드 심기 위한 방법 갈수록 발전할 것


[보안뉴스 문가용 기자] 암호화폐를 겨냥한 사이버 공격인 크립토재킹(crypto-jacking)이 다시 한 번 변화의 시기를 겪고 있다고 보안 업체 임퍼바(Imperva)가 경고했다.

[이미지 = iclickart]


임퍼바는 최근 레디스워너마인(RedisWannaMine)이라는 공격 캠페인을 최근 발견했다. 이 공격은 데이터베이스 서버와 애플리케이션 서버를 모두 노리고 있다. 1세대 크립토재킹 공격의 기능성이 제한적이었다면, 최근 진행되고 있는 크립토재킹 공격은 훨씬 복잡하고 다양한 기능을 수행한다.

“이전 크립토재킹 공격은 암호화폐 채굴 코드나 스크립트를 다운로드 받아 시스템 내에서 실행하도록 유도하는 것이 거의 전부였습니다. 침투 기술 같은 것들도 기초적인 것들만 사용됐죠. 하지만 레디스워너마인과 같은 경우, 웜과 비슷한 기능성을 보여주고 있고 감염 성공률을 높이기 위한 고급 기술도 활용되고 있습니다.”

엉뚱한 사람의 컴퓨터를 사용해 자기를 위해 암호화폐를 채굴하는 것이 크립토재킹 공격의 기본 골자라는 건 변함이 없다. 사이버 범죄자들의 이러한 시도는 지난 3~4개월 동안 급증했다. 암호화폐의 가치가 폭등하고 있는데 사이버 범죄자들이 가만히 넘어갈 리가 없었다. 임퍼바가 조사한 바에 의하면 웹 애플리케이션을 겨냥한 모든 원격 코드 실행 공격의 90%가 바로 암호화폐 채굴 코드와 관련이 있는 것으로 나타났다.

그렇다면 레디스워너마인은 정확히 어떤 점에서 다른 걸까? “두 가지 방법으로 감염을 시도합니다. 먼저는 공개된 레디스(Redis) 서버들을 찾아내고 감염시키기 위한 코드가 실행됩니다. 대규모 IP 주소 목록을 만들고, 6379 포트를 스캐닝합니다. 6379 포트가 레디스의 디폴트 포트거든요.”

그 다음으로 레디스워너마인은 스크립트를 사용해 같은 서버 메시지 블록 취약점을 찾아나선다. 이는 미국의 NSA가 이터널블루(EternalBlue)라는 익스플로잇을 통해 악용해왔던 취약점으로 알려졌다. 서버 메시지 블록 취약점은 워너크라이(WannaCry) 사태의 주범이기도 하다. 이렇게 해서 취약점이 발견되면, 암호화폐 채굴 코드를 전파하기 시작한다.

“즉 레디스워너마인은 데이터베이스 측면의 공격과 애플리케이션 측면의 공격을 모두 함으로써 공격 표면을 넓히고 동시에 성공률도 높이는 겁니다.”

임퍼바는 “크립토재킹 공격은 앞으로도 계속해서 발전할 것”이라고 경고한다. “랜섬웨어도 처음에는 초보적이고 기초적인 협박 공격일 뿐이었습니다. 하지만 지금은 독립적인 범죄 산업으로 자라났죠. 크립토재킹 공격도 비슷한 전철을 밟을 것이라 보입니다. 암호화폐의 가치가 계속해서 올라간다는 전제 하에서요.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)