세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
인기 높은 자바스크립트 라이브러리 남용 통한 암호화폐 채굴
  |  입력 : 2018-11-28 13:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
자바스크립트 라이브러리인 이벤트스트림, 암호화폐 채굴 코드 운반
원 제작자가 9월 관리권한을 누군가와 공유한 시점에서부터 잘못되기 시작


[보안뉴스 문가용 기자] 인기 높은 라이브러리를 악용한 암호화폐 채굴 공격이 발견됐다. 이 공격에 연루된 라이브러리는 인기가 높은 이벤트스트림 노드(EventStream Node.js)라는 것으로, 공격자들은 이 라이브러리를 사용해 암호화폐 채굴 코드를 다운로드 및 설치한다고 한다.

[이미지 = iclickart]


이벤트스트림 라이브러리는 스트림 관련 작업을 보다 쉽게 할 수 있도록 고안된 자바스크립트 패키지 툴킷으로, 일주일에 약 2백만 번의 다운로드 횟수를 기록하고 있다. 이렇게 인기가 많다는 건 애플리케이션 개발자들에게는 물론 악성 행위자들에게도 중요한 디지털 자원이라는 의미가 된다.

이벤트스트림은 도미닉 타르(Dominic Tarr)라는 개발자가 만든 것인데, 타르 본인은 이 라이브러리를 이미 수년 째 사용하지 않고 있다고 말한다. 즉 이벤트스트림의 조작에 타르 본인이 개입되어 있을 수 있는 가능성을 일찌감치 제한 것이다. 하지만 2018년 9월 라이브러리를 누군가에게 전송한 적은 있다고 한다. 이 인물은 라이브러리의 의존성을 변경했고, 이것이 결국 악성 코드 다운로드로까지 이어진 것이라고 분석된다.

외신에 의하면 “도미닉 타르는 지난 9월, 이벤트스트림 라이브러리를 라이트나인컨트롤(right9ctrl)에 넘겼고, 라이트나인컨트롤은 그 달 9일 플랫맵스트림(flatmap-stream)이라는 라이브러리를 이벤트스트림 라이브러리 의존성에 추가했다”고 한다. “하지만 그 달 16일 새로운 버전의 이벤트스트림이 나오면서 해당 플랫맵스트림은 제거됐다”고 한다.

그런데 10월 5일 NPM 사용자인 휴지글래스(hugeglass)라는 인물이 플랫맵스트림 0.1.1 버전을 푸시했다. 이 속에는 악성 코드가 난독화 처리되어 삽입되어 있었다. package.jason의 설명 부분에 특정 값이 존재할 경우 악성 페이로드가 복호화 되어 활성화되는 메커니즘이었다. 페이로드는 암호화폐 지갑에서 키들을 탈취하는 것을 그 목적으로 하고 있었다.

이번 공격에서 주로 표적이 된 암호화폐는 비트코인이고, 노려진 지갑은 대시 코페이 비트코인(Dash Copay Bitcoin)이다. 대시 코페이 비트코인은 오픈소스, 멀티플랫폼, 멀티시그니처, 보안 비트코인 전용 지갑이며, 이를 노리는 악성 코드는 지갑 앱이 사용되는 환경에서만 발동한다.

“현재까지 악성 코드는 코페이 및 비트페이(BitPay) 앱 5.0.2~5.1.0 버전에서만 작동하는 것으로 알려져 있습니다. 하지만 비트페이 앱은 악성 코드에 취약하지 않은 모습을 보여주었습니다. 지금은 코페이 사용자들에게 이 코드의 취약점을 통한 공격이 직접 감행된 적이 있는지 조사 중에 있습니다.” 비트페이 팀이 블로그를 통해 알린 내용이다.

결국 이번 사고는 라이브러리의 원 관리자가 해당 라이브러리를 다른 사람에게 넘긴 것에서부터 시작됐다고 볼 수 있다. 그 과정에서 코드 무결성 확인을 확실하게 하지 않았을 가능성이 높다. 라이트나인컨트롤 역시 라이브러리에 새로운 의존성을 추가하거나 빼면서 꼼꼼한 확인을 하지 않을 것으로 보인다.

버그바운티 플랫폼인 버그크라우드(Bugcrowd)의 CTO 케이시 엘리스(Casey Ellis)는 이번 사건에 대해 “현대 소프트웨어 생태계가 가진 구조적인 문제를 고스란히 드러냈다”고 평한다. “코드가 공유되는 일이 빈번한 게 요즘의 흐름입니다. 이런 환경 속에서 ‘내가 만든 코드’가 안전하다고 해서, 그걸 가지고 추가 개발하는 다른 사람들도 그 안전함을 유지할 거라고 볼 수 없습니다.”

그러면서 엘리스는 “이 문제에 대한 근본적인 해결책은 코드 남용 사례에 대한 심층 분석 및 지속 분석을 꾸준하게 진행하는 것”이라고 말한다. “인기가 높은 라이브러리나 코드 레포지토리가 공격을 당한 게 이번이 처음이 아닙니다. 해커들은 인기 높은 오픈소스 요소들에 교묘하게 악성 코드를 삽입해 유통시키기 시작했어요. 내가 사용하는 코드의 점검이 반드시 이뤄져야 하는 때입니다.”

3줄 요약
1. 이벤트스트림이라는 인기 높은 자바스크립트 라이브러리, 누군가 남용해 암호화폐 채굴 코드 퍼트리기 시작.
2. 이벤트스트림 최초 제작자가 지난 9월 누군가에게 관리 권한 넘긴 바 있음.
3. 오픈소스 코드는 최초 개발자만 잘 관리하는 게 아니라, 유통 과정 모든 부분에서 철저한 보호가 이뤄져야 한다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술