세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[주말판] 극성스런 암호화폐 채굴 차단하는 7가지 방법
  |  입력 : 2018-03-24 15:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
암호화폐 채굴 도구, 기존 멀웨어와 달라 현존 솔루션으론 탐지 안 돼
멀웨어 방어가 아니라 PUA 탐지 및 차단 방식으로 접근해야


[보안뉴스 문가용 기자] 사이버 범죄자들이 기업용 컴퓨터나 웹사이트를 자기 것인 냥 훔쳐 암호화폐를 채굴하는 사례가 늘어나고 있다. 그러면서 애플리케이션이나 사업 운영이 정상적으로 진행되지 않고 있으며, 이에 많은 보안 업체들이 이 어두운 곳의 광산업자들을 탐지하고 또 추적하고 있다.

[이미지=iclickart]


많은 경우 사이버 범죄자들은 암호화폐를 채굴하는 스크립트를 웹사이트에 심어 수많은 방문자들의 시스템을 자기들의 채굴 도구로 만드는 수법으로 이득을 보고 있다.

랜섬웨어 등 기타 다른 멀웨어들과 달리 암호화폐 채굴 도구는 ‘합법적’일 때가 많다. 그러므로 기존의 안티 멀웨어 솔루션들로는 잡아내기가 힘들다. 탐지가 되지 않는다. 또한 데이터를 훔쳐내거나 누군가를 감시하는 것이 아니라 CPU를 사용하고 전기세를 조금 잡아먹는 게 전부라 당하면서도 느끼지 못하는 것이 보통이다. 욕심을 아주 많이 내는 공격자들만이 눈에 띄고, 대부분은 CPU의 일정 부분만 자제하면서 사용한다.

결국 시스템이 평소보다 느리다는 느낌만이 채굴자들의 침입을 의심해볼 수 있게 해주는 장치가 된다는 건데, 이는 ‘정확함’과는 거리가 멀다.

‘멀웨어’로 분류하기는 애매하지만, 암호화폐 채굴 도구는 결국 잠재적 비요구 응용프로그램인 PUA에 속하긴 한다. 그리고 PUA는 보안의 기본적인 수칙과 실천사항들을 지킴으로서 방어할 수 있다. 다행이라면 암호화폐 채굴 도구 역시 멀웨어와 같은 방법으로 퍼지고 있어, PUA처럼 막는 게 가능하다는 것이다. 그러한 방법들을 이번 주 주말판에 ‘다시 한 번’ 소개한다.

1. 엔드포인트 보안의 강화
암호화폐 채굴 코드의 침투를 방지하는 데 가장 중요한 건 엔드포인트 보안을 강화하는 것이라고 보안 업체 크라우드스트라이크(CrowdStrike)의 브라이언 요크(Bryan York)는 강조한다. “최종 사용자 시스템이나 호스트 시스템에 남의 채굴 코드가 실행되는 것을 원치 않는다면 패치와 업데이트를 항상 신경 쓰는 것이 기본입니다. 또한 웹 서핑을 할 때 꼭 애드 블로커를 사용하세요. 자바스크립트를 비활성화시키고요. 브라우저 확장 프로그램(엑스텐션, 애드온 등)의 사용도 최소화하되, 암호화폐 채굴을 막는 기능을 가진 것들은 예외입니다. 원격 접근이 필요하다면 다중 인증을 해야만 하도록 설정하고, 망분리를 통해 횡적 움직임을 제어해야 합니다.”

요크는 “최근에 암호화폐 채굴 소프트웨어를 탐지하고 막는 기술이 하나 둘 시장에 등장하고 있다”며 “이러한 소프트웨어들의 행동 패턴을 잡아내는 솔루션들을 사용하는 것도 고려해봄직 하다”고 말한다. “특히 파일레스 공격 방식으로 암호화폐를 채굴하는 건 일반인이나 일반 조직 입장에서 정말 방어하기가 힘든데, 이런 것들을 잡아내는 소프트웨어들도 있습니다. 채굴자들의 공격 때문에 네트워크가 마비될 정도라면 이런 솔루션들을 알아보는 게 가장 간단하고 효과적인 해결책이 될 수 있습니다.”

또 다른 보안 업체 시큐어웍스(SecureWorks)의 수석 보안 전문가인 마이크 맥렐란(Mike McLellan)은 “중앙화된 로깅 기능을 도입하는 것도 악성 행위를 탐지하고 제한하는 것에 도움이 될 수 있다”고 조언한다. “아웃바운드 암호화폐 채굴 트래픽을 파악하는 방법 중 하나는 출구 지점을 집중적으로 모니터링하고 바깥으로 트래픽을 내보내는 네트워크 연결 상태나 환경을 설정 및 관리하는 겁니다. 특히 주의해야 하는 건 비표준 포트를 활용하고, 암호화되지 않은 트래픽입니다.”

2. 웹사이트 보안의 점검
위에 강조했지만 사이버 범죄자들이 채굴을 위해 많이 사용하는 것 중 하나가 바로 웹사이트다. 웹사이트에 채굴 코드를 호스팅해놓고 방문자들의 CPU를 채굴에 활용하는 것이다. 물론 웹사이트 주인이 일부러 그렇게 해놓은 경우도 있지만, 대부분은 범죄자들이 아무도 모르게 이러한 스크립트를 주입한다. 이 경우 모네로가 가장 인기가 높은 암호화폐다.

보안 업체 하이테크 브리지(High-Tech Bridge)의 CEO 일리야 콜로첸코(Ilia Kolochenko)는 “웹 서버 보안을 더욱 단단하게 하는 것이 중요하다”고 말한다. “웹 콘텐츠에 대한 보안 정책을 도입하거나 새롭게 변경시키는 것부터 시작하는 것이 좋습니다. 이것만으로도 XSS나 CSRF 공격과 같은 흔한 익스플로잇을 대부분 차단할 수 있거든요. 또한 관리자 비밀번호만큼은 아주 어렵게 만들고, 자주 바꿔주세요. 가능하다면 다중인증 시스템을 사용하시고요.”

또 웹 애플리케이션 방화벽도 큰 도움이 될 수 있다. “직접 짠 코드 내 취약점이나 아직 공개되지 않은 취약점들에 대한 익스플로잇을 완화시키거나 줄일 수 있습니다. 웹 애플리케이션 보안의 가장 기본은 지속적인 보안 모니터링임을 잊지 말아야 합니다. 누군가 혹은 뭔가는 항상 웹사이트를 주시하고 변경 사항을 발견할 수 있어야 합니다.”

3. 접근 통제의 강화
시스템과 및 애플리케이션 크리덴셜을 관리할 때의 가장 중요한 원칙은 ‘최대 권한의 최소화’이다. “관리자 권한을 가장 적은 인원에게만 허락하세요. 그리고 아무에게도 공유하지 않도록 해야 합니다. 또한 그 소수의 관리자가 접속할 때도 ‘한정된 환경에서만’ 할 수 있도록 설정해야 합니다.” 맥렐란의 설명이다. “윈도우 시스템이라면 MS의 로컬 관리자 비밀번호 솔루션(LAPS)를 사용해보세요. 비밀번호 관리가 강력하고 간단해집니다.”

외부에서의 접근이 필수인 애플리케이션의 경우라면 다중인증이 기본이다. “원격 관리와 같은 특수하고 고유한 기능의 경우에는 표준 포트나 서비스가 아니라 맞춤형 포트나 서비스를 사용해보세요. 원격 관리로 들어가는 문을 최대한 좁혀야 합니다.”

4. 서드파티 소프트웨어를 점검
나는 완벽히 잘 했는데, 남이 만든 코드 때문에 취약점이 생기고 공격을 허용하는 경우가 많다. 보안 업체 미디어 트러스트(The Media Trust)의 CEO 크리스 올슨(Chris Olson)은 “서드파티 코드가 웹 보안을 흔들어 놓을 때가 너무 많아 억울하게 당하는 사람이 꼭 생긴다”며 “파트너사나 사내 개발자들이 사용하는 코드를 전부 점검하는 것이 중요하다”고 강조한다. “또한 데이터 프라이버시 정책을 파트너사와 공유하고 주지시켜야 합니다. 그리고 같은 수준의 보호를 할 수 없는 회사라면 아무리 거래를 오래했더라도 끊어내야 합니다.”

“웹사이트 하나에 얽힌 수많은 파트너와 서드파티 코드들을 하나하나 빠짐없이 점검하십시오. 그래야 위협의 수준과 컴플라이언스를 파악할 수 있거든요. 즉 내가 운영하고 있는 웹사이트의 구조를 온전히 파악하고 이해하라는 겁니다. 백엔드부터 프론트엔드까지 모든 부분을 입체적으로 이해하고 있어야 지속적인 웹사이트 모니터링도 가능해지고 원치 않는 코드가 실행되는 것을 발견할 수 있습니다.”

5. 클라우드 계정 강화
클라우드 서비스가 등장할 때부터 해킹 공격이 걱정됐는데, 과연, 해커들은 클라우드 계정을 악용해 암호화폐를 채굴하기도 한다. 보안 업체 BMC의 제품 관리 부회장인 다니엘 넬슨(Daniel Nelson)은 “전 세계적인 대기업의 공공 클라우드 계정으로 암호화폐를 채굴하던 대범한 해커들이 생겨나기 시작했다”며 “사내 시스템과 파트너사만이 아니라 클라우드 서비스도 점검해야 하는 때”라고 말한다.

“섹옵스 폴리시 서비스(SecOps Policy Service)와 같은 자동 정책 적용 솔루션이 있으면 간편하고 효과적으로 이 문제를 해결할 수 있습니다. 클라우드 콘테이너를 지속적으로 모니터링 해주고 보안 상태를 평가해주며 상황 발생 시 어느 정도 대처까지 해주거든요. 중요한 건 사내 보안 정책을 콘테이너에도 지속적으로 적용시키는 겁니다.”

클라우드에라도 사각지대가 있어서는 안 된다는 것이 넬슨의 설명이다. “은둔의 IT 등 직원들이 등록하지 않고 사용하는 애플리케이션이나 클라우드 서비스들이 바로 이러한 사각지대이며, 강력한 공격거리가 됩니다. 현재 회사 네트워크 내에서 사용되고 있는 애플리케이션들을 하나도 빠짐없이 다 알고 있나요? 여기서부터 클라우드 보안을 강화시켜 나가야 합니다.”

6. 불필요한 서비스의 제한
맥렐란은 “사용하지 않거나 꼭 필요하지도 않은 서비스나 애플리케이션들이 네트워크 내에 무수하게 많이 존재하는 것이 현실”이라며 “지울 것은 당장 지워내는 것이 중요하다”고 강조한다. “SMB v1과 같은 내부 프로토콜이 좋은 예죠. 이러한 서비스는 사용되지도 않으면서 아직 여러 조직 내에 존재합니다. 시간을 들여서라도 정리할 건 전부 정리해내야 합니다. 제거가 어렵다면 적어도 원격 접근이라도 되지 않도록 막아야 합니다. 파워셸이 바로 이런 경우죠. 지우면 안 되지만, 대부분 사용자들이 단 한 번도 사용할 일 없으면서, 파일레스 공격의 가장 빈번한 공격 경로이기도 하니까요. 회사 차원에서 파워셸 관리를 다시 한 번 점검해봐야 합니다.”

7. 사물인터넷 네트워크의 강화
인터넷에 연결된 공장 센서나 보안 카메라, 스마트 온도 조절기, 태블릿 PC 등 사물인터넷 기기들로 구성된 네트워크도 꼼꼼한 점검이 필요하다. 물론 이런 기기들은 채굴에 활용될 만큼 강력한 CPU 파워를 가지고 있지는 않다. “대신 (사물인터넷을 통해 채굴을 할 경우) 탐지될 확률이 정말 낮다는 큰 장점이 있습니다. 한 번 뭔가를 심어두면 거의 영구적인 수입처가 생기는 것입니다.” 콜로첸코의 설명이다.

“수백만에서 수천만 대에 이르는 사물인터넷 기기들에도 일단 CPU가 존재하고 크리덴셜이 저장되어 있으며 기기에 따라 중요한 개인정보들도 처리되는 경우가 있습니다. 그런데도 기본적인 비밀번호 보호 장치는 없는 경우가 많아요. 비밀번호라는 게 없거나, 변경도 못하는 기기들이 수두룩하죠. 그래서 미라이 같은 사물인터넷 봇넷이 큰 위협이 된 것이고요. 욕심을 덜 내는 채굴 공격자라면 사물인터넷을 통해 ‘안정적인’ 수입을 노릴 수도 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 9
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)