2018년 채굴 악성코드가 사랑한 암호화폐 TOP 4
  |  입력 : 2019-02-11 18:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
모네로(Monero), 대시(Dash), 이더리움(Ethereum), 제트캐시(Zcash) 많이 채굴해

[보안뉴스 원병철 기자] 사용자 모르게 PC에 상주하면서 PC의 자원을 암호화폐를 채굴하는 데 사용한 후, 얻어진 암호화폐를 공격자에게 전송하는 채굴 악성코드, 혹은 마이너 악성코드(Miner Malware)는 2018년 한 해 동안 엄청나게 증가했다.

2018년 안랩이 집계한 마이너 악성코드의 샘플은 2017년에 비해 2,254%의 증가라는 폭발적인 수치를 기록했다. 이 가운데 불특정 다수에게 무작위로 배포되는 악성코드 특성상 채굴 연산에 CPU를 사용하는 CPU 마이너 계열의 비중이 가장 큰 것이 확인됐다. 또한, 2018년 한 해 동안 안랩이 확인한 감염 보고 건수 335만 4천여 건 중 상위 10개 진단명의 감염 보고 건수는 222만 8,000여 건으로 전체의 약 66%를 차지했다.

[이미지=iclickart]


안랩 시큐리티 대응센터(ASEC)가 분석한바에 따르면 2018년 마이너(Miner) 악성코드 샘플과 감염 리포트 수량은 크게 증가했다. 해당 악성코드의 샘플 수량은 2017년의 12만 7,000건에서 2018년에는 299만건으로 무려 2,254% 증가율을 보였다. 마이너 악성코드의 폭발적인 증가는 암호화폐(Cryptocurrency)의 급격한 가치 상승에 기인한 것으로 분석된다. 실제로 비트코인(Bitcoin, BTC)과 모네로(Menero, XMR) 가격 추세 그래프에서 알 수 있듯이 2018년 1분기 암호화폐의 가격 상승과 함께 마이너 악성코드 수 및 감염 보고 건수가 폭발적으로 증가했다.

▲마이너 악성코드 샘플 및 감염 보고 건수 vs 비트코인 가격[자료=안랩]


참고로 암호화폐의 대명사로 알려진 비트코인과 달리 모네로는 거래의 익명성이 보장되어 누가 얼마나 보낸 것인지 알 수 없으며, 성능 좋은 고가의 GPU(Graphics Processing Unit)를 장착한 시스템이 아닌 일반 CPU(Central Processing Unit) 환경에서도 채굴이 가능한 대표적인 코인이다. 이러한 이유로 공격자는 불특정 다수를 감염시켜 채굴을 할 수 있는 모네로를 선호하는 것으로 알려져 있다.

▲비트코인과 모네로 가격 추이(2017 ~ 2018)[자료=안랩]


안랩은 2010년부터 V3 진단명으로 마이너(Miner)를 사용했다. 마이너 악성코드 샘플의 유포와 활동은 앞서 언급한 대로 암호화폐 가치에 비례하여 증가하거나 감소했다. 비트코인은 2009년 최초로 알려졌으며 이후 채굴을 할 수 있는 마이너 도구들이 알려지기 시작한 것으로 보인다.

2011년부터 채굴을 노린 마이너 악성코드의 수와 감염 리포트 수량이 조금씩 증가하기 시작했다. 2013년 4분기 감염 리포트 수량이 3분기 대비 6만 2,700여건에서 39만 9,000여건으로 537% 증가했는데, 이때도 비트코인 가격이 전 분기 111달러에서 502달러로 무려 350% 상승했다. 이러한 사례를 통해 암호화폐 가치 상승이 마이너 악성코드의 증감 추세에 어느 정도 영향을 끼치는 것으로 추측할 수 있다고 안랩은 설명했다.

▲마이너 악성코드 샘플 수와 감염 보고 건수(기간 2011~2013)[자료=안랩]


그러나 마이너 악성코드 활동이 암호화폐 가치에 좌우된다고 단정할 수는 없다. 일례로 2018년 4분기의 마이너 악성코드의 활동을 들 수 있다. 해당 시기의 마이너 악성코드는 특이한 양상을 보여주고 있다. 2018년 3분기 25만 7,000건이었던 샘플 수량은 2018년 4분기에는 73만 건으로 183% 증가했다. 샘플 수량만 증가한 경우라면 단순 변형의 증가로 설명될 수 있지만, 해당 기간의 감염 리포트 수량 역시 3분기 28만 6,000건에서 4분기 63만 4,000건으로 121% 증가했다. 이는 지금까지 설명한 암호화폐 가치 상승과 비례한 마이너 악성코드 증가와 반대되는 현상이다.

▲마이너 악성코드 샘플 수 및 감염 보고 건수 vs 비트코인 가격(2014 ~ 2015)[자료=안랩]


그렇다면 과거에도 유사한 사례가 있었는지 확인해 볼 필요가 있다. 암호화폐의 가치 상승과 상관없이 2018년 4분기처럼 샘플 수량 또는 감염 리포트 건수가 증가한 일이 발생했을까? 이에 대한 답은 다음 표에서 확인할 수 있다. 2014년 4분기에서 2015년 1분기 사이에 유사한 사례가 존재했다.

비트코인 가격이 하락하는 추세에 2014년 4분기부터 증가하기 시작한 샘플 수량은 2015년 1분기 최고에 다다랐다. 암호화폐의 시세 상승과 관련 없이 샘플과 감염 보고 수량이 증가하는 이유에 특별한 인과관계가 확인되지는 않았다. 악성코드 제작자들은 시세와 관련 없이도 마이너 악성코드를 유포하고 활발히 활동할 수 있음을 과거 사례를 통해 알 수 있었다.

마이너 악성코드 유포 방법
마이너 악성코드는 사용자 몰래 시스템의 리소스(CPU, GPU 연산)를 이용해 암호화폐를 채굴(Mining)하는 악성코드를 말한다. 비트코인(Bitcoin)으로 잘 알려진 암호화폐는 거래내역을 기록한 블록을 생성하고 그 대가로 얻을 수 있는데 이러한 행위를 ‘채굴(Mining)’이라고 표현한다. 이러한 채굴 행위는 과거에는 정당한 목적으로 이용됐다.

그러나 최근 관련 악성코드가 증가하면서 해커가 사용자의 시스템을 이용해 채굴하는 ‘크립토재킹(Cryptojacking)’이 떠올랐다. 채굴 행위를 좀 더 자세히 들여다보면, 거래내역을 기록한 블록 해시가 랜덤하게 생성되고 이를 일일이 대입하는 방식으로 해시를 검증한다. 그 과정에서 반복적인 연산을 빠르게 수행하기 위해 컴퓨터의 CPU 또는 GPU 리소스를 많이 사용한다. 마이너 악성코드는 바로 이와 같은 행위를 사용자 몰래 수행해 감염된 시스템의 리소스를 탈취한다.

마이너 악성코드의 채굴 행위에 따른 피해 정도는 개인과 기업에 따라 차이가 있다. 개인 사용자의 경우, CPU나 GPU 리소스가 소모됨에 따른 PC 성능 저하가 발생한다. 기업의 경우에는 불필요한 리소스 소모로 인한 전력 낭비는 물론, 전반적인 비즈니스 생산성 저하의 결과로 이어질 수 있다. 채굴에는 반복적인 연산을 위해 고성능 CPU가 탑재된 장비가 필요한데, 기업의 서버는 대표적인 고성능 컴퓨팅 장비다. 한편, 빠른 속도로 반복적인 연산을 계속한다는 것은 더 많은 전력 소모가 필요하다는 뜻이다. 따라서 비즈니스 연속성을 위해 24시간 가동되는 기업의 고성능 서버 장비는 공격자에게 더할 나위 없이 매력적인 먹잇감이 아닐 수 없다.

그렇다면 마이너 악성코드는 어떻게 유포되는 걸까? 일반적으로 윈도우 환경에서는 다음과 같은 방식으로 유포 및 감염된다.

▲마이너 악성코드 감염경로[자료=안랩]


먼저 ‘브라우저 기반 마이닝’ 또는 ‘드라이브 바이 마이닝(Drive by Mining)’이 있다. 이 방식은 시스템에 애드웨어 및 악성코드를 별도로 설치·감염시킬 필요 없이 채굴이 가능한 것이 특징이다. 공격자는 악성코드를 웹 사이트에 삽입한 후 사용자가 웹 사이트를 방문하거나 공격자가 의도한 웹 사이트로 이동하면 채굴을 수행한다. 그러나 이 방법의 단점은 브라우저로 해당 페이지가 열려 있을 때만 동작한다는 것이다. 따라서 이를 이용하여 채굴을 하는 공격자는 일반적으로 사용자가 해당 페이지에 최대한 머물게 하려고 자극적인 내용의 웹사이트를 운영한다. 물론 이런 웹 사이트를 운영하지 않아도 일반 웹사이트의 취약점을 이용하여 관리자 몰래 스크립트를 삽입하기도 한다.

마이너 악성코드가 사용하는 유포 방법 중에 2018년 한 해 동안 가장 많이 악용된 것은 애드웨어다. 2018년 한 해 동안 안랩이 집계한 감염 보고 사례 335만 4,000여건 중 상위 10개 진단명의 감염 리포트가 222만 8,000여건으로 전체의 약 66%를 차지한다.

▲2018년 마이너 악성코드 감염 리포트 샘플 수량 TOP 10[자료=안랩]


안랩 진단명 기준으로 1위와 2위를 차지한 ‘PUP/Win32.CoinMiner’와 ‘PUP/Win32.Miner’는 스마트포인트(SmartPoint) 애드웨어에 의해 설치된다. 해당 프로그램은 PUP(Potentially Unwanted Program)로, 사용자에게 포인트를 준다는 문구의 설치 안내 페이지를 제공하지만 설치 시 사용자 PC의 리소스를 크게 점유해 불편을 유발한다.

네번째로 많은 비율을 차지하는 ‘Unwanted/Win32.CoinMiner’는 지금은 배포가 중단된 에픽 스케일(Epic Scale) 애드웨어와 관련이 있다. 에픽 스케일은 주로 파일 공유 프로그램인 토렌트(Torrent) 설치 파일에 포함되어 유포됐고 사용자 수가 많은 프로그램인 만큼 실제 감염자 수도 높은 것으로 확인됐다.

감염 리포트 샘플로 확인한 마이너 유형 현황
2018년 가장 많이 악용된 마이너 유형은 오픈소스를 기반으로 한 CPU 마이너(xMiner, XMRing) 계열이었다. 이는 2018년 마이너 악성코드 감염 리포트 샘플 상위 10개 샘플들로부터 40,000개 표본 샘플을 추출해 분석 및 분류한 결과에서 확인할 수 있다. 공격자들은 자체적으로 제작하기보다는 알려진 오픈소스를 변형한 마이너를 공격에 이용한 것으로 분석된다.

▲마이너 종류 비율 (감염 리포트 대상 샘플)[자료=안랩]


2018년 마이너 악성코드가 가장 많이 노린 암호화폐는?
그렇다면 마이너 악성코드는 어떤 암호화폐를 채굴할까? 가장 많은 마이너 악성코드의 채굴 대상이 된 암호화폐 4종은 모네로(Monero), 대시(Dash), 이더리움(Ethereum), 제트캐시(Zcash) 순으로 집계됐다.

▲채굴 대상 암호화폐 TOP 4(감염 리포트 샘플 대상)[자료=안랩]


채굴 대상이 되는 화폐 중 모네로의 비율이 눈에 띄는데, 이는 모네로가 다른 암호화폐와 다르게 익명성에 중점을 두고 개발되어 악성코드 제작자들이 범죄 행위에 악용하고 있기 때문이다.

악성코드를 이용한 금전적인 이득은 악성코드 제작자들에게 강력한 동기가 되고 있다. 이미 온라인 뱅킹 트로이목마와 랜섬웨어를 통해 금전적인 이득을 얻은 경험이 있는 그들에게 익명성까지 보장되는 암호화폐는 더할 나위 없이 매력적일 수밖에 없다. 게다가 마이너 악성코드 제작은 랜섬웨어보다 시간과 비용 측면에서 더 경제적이다. 왜냐하면 마이너 악성코드 대부분이 오픈소스를 변형한 형태여서 제작 및 유지에 대한 진입장벽이 랜섬웨어에 비해 낮은 편이기 때문이다.

안랩은 많은 보안업체들이 언급하고 있듯이 악성코드 제작자들은 랜섬웨어에서 마이너 악성코드로 이동하고 있으며, 사용자 몰래, 더 오래 시스템에 잔존하는 전략으로 진화될 것이라고 강조했다.

또한, 안랩은 윈도우 환경이 아닌 IoT 환경에서도 유포되고 동작하는 마이너 악성코드의 위협도 간과해서는 안된다면서, 이러한 위협 트렌드의 변화에 대응하기 위해서 보안업체들은 전통적인 윈도우, 리눅스, 맥OS 등의 환경뿐만 아니라 더 많은 디바이스를 보안의 영역에서 안전하게 보호하기 위해 노력하고 있다고 설명했다.

무엇보다 이와 같은 시도와 노력은 보안업체 차원에서만 그치는 것이 아니라 기업의 관리자, 그리고 일반 개인 사용자들의 적극적인 참여가 필요하며, 사용자들은 제품 선택 시에 보안을 고려해 제작된 제품을 우선하고, 사용 중에는 보안 패치 및 최신 버전 업데이트를 생활화해 새로운 보안 위협 대응에 한발 앞서 나갈 필요가 있다고 거듭 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제