[보.알.남] 재주는 곰이, 돈은 사람이... 크립토재킹

사용자 PC를 ‘암호화폐 채굴기’로 쓰는 크립토재킹... 최근 꾸준히 증가 추세
광고 차단 프로그램 설치, 주기적인 시스템 검사로 예방할 수 있어

[보안뉴스 양원모 기자] 역시 ‘존버’는 진리일까. 최근 암호화폐가 다시 상승곡선을 그리고 있다. 지난해 말 개당 400만원까지 떨어졌던 비트코인은 올 5월부터 급격히 오르며 28일 기준 1,400만 원대를 유지 중이다. 최고점을 찍었던 2017년 12월(2,400만 원)의 절반 수준이지만, 투기 논란 등 부침을 겪으며 360만 원대까지 떨어진 지난해와 비교해 확실히 ‘암흑기’는 지나왔다는 평가와 추가 상승에 대한 기대감이 나온다.

[이미지=iclickart]

반등을 반기는 건 투자자뿐만 아니다. 크립토재킹 공격자들에게도 희소식이다. 한동안 움츠려있던 암호화폐 시장이 활기를 띄면서 공격에 나설 가능성이 커진 것이다.

크립토재킹(Cryptojacking)은 ‘암호화폐(Cryptocurrency)’와 ‘하이재킹(Hijacking·납치)’을 합친 말이다. 악성코드를 통해 타인의 PC를 암호화폐 채굴기로 쓰는 공격이다. 사실 크립토재킹은 암호화폐의 등락과 무관하게 꾸준히 증가해 왔다. 한국인터넷진흥원(KISA)에 따르면, 크립토재킹 탐지 건수는 2017년 3건에서 2018년 1,188건으로 400배가량 늘어났다. 지난해 11월엔 보안전문가 등 4명의 일당이 이력서를 위장한 이메일을 통해 기업 인사담당자 등 6,000여대의 PC에 크립토재킹 악성코드를 설치했다가 검거되기도 했다. 피해규모는 100만 원대로 소액이었지만, 국내 첫 크립토재킹 범죄 사례라는 점에서 관심을 끌었다.

늘어나는 크립토재킹 공격
크립토재킹은 2011년부터 암암리에 그 존재가 알려졌다. 언론에 본격적으로 언급되기 시작한 건 2016년 말부터다. 컴퓨터 및 기기 1만5,000여대를 거느리고 있던 대형 봇넷 ‘본드넷(Bondnet)’에 이어, 웹브라우저를 기반으로 하는 자바스크립트 형태의 암호화폐 채굴 프로그램 ‘코인하이브’의 등장으로 활개를 치기 시작한 것이다. 코인하이브의 원래 목적은 웹사이트 운영자의 광고 외 수입 창출이었다, 그러나 채굴코드 삽입이 쉬워 크립토재킹 공격자는 물론 일반 암호화폐 투자들에게까지 악용됐다. 코인하이브는 지난 2월 서비스 중단을 선언했다.

크립토재킹 공격은 꾸준히 증가하고 있다. IBM 엑스포스 보안연구소는 지난 2월 연례 보고서에서 2018년 4분기 크립토재킹 공격 시도가 같은 해 1분기에 비해 450% 증가했다고 밝혔다. 반면, 2017년 ‘워너크라이’ 사태로 악명을 떨친 랜섬웨어 공격은 같은 기간 45%가 감소했다. IBM은 “2017년 암호화폐 가격이 폭등하자 해커들이 피해자의 컴퓨터를 이용해 불법적인 암호화폐를 채굴했고, 이를 통해 수익을 얻은 것으로 보인다”고 분석했다.

정부기관을 노린 공격도 활발하다. 지난 5월 과학기술정보통신부는 산하기관인 한국지질자원연구원(지질연) 서버에서 유지보수업체 직원이 암호화폐 채굴 프로그램을 설치한 사실을 확인하고, 모든 산하기관을 대상으로 전수조사에 들어갔다고 밝혔다. 특히, 본보 취재 결과, 지질연뿐 아니라 기초과학연구원(IBS), 카이스트(KAIST)에도 같은 직원 소행으로 추정되는 채굴 프로그램이 설치됐던 것으로 드러나며 논란이 확산됐다. 이 직원은 사람이 없는 밤 10시부터 아침 7시까지만 프로그램이 가동되도록 하고, 로그 축적을 최소화하는 등 지능적 수법으로 1년 가까이 감시를 피했다.

크립토재커가 ‘모네로’만 노리는 이유
크립토재킹의 대다수는 모네로(Monero) 채굴이 목적이다. 거래 기록 추적이 어렵고, 송금처를 알 수 없어 범죄 자금 은닉이 쉽기 때문이다. 업계에선 이렇게 익명성이 큰 암호화폐를 ‘다크코인’이라 부른다. 다크코인에는 모네로 외에 대시, 지캐시, 코모도, 버지, 바이트코인 등이 꼽힌다. 모네로는 이 가운데 가장 거래 규모가 큰 암호화폐다.

다크코인은 특유의 폐쇄성으로 시장에서 점점 퇴출되는 추세다. 국제자금세탁방지기구(FATF)는 지난 2월 각국 금융청이 다크코인 거래를 철폐한 암호화폐 거래소만 인가할 것을 권고했다. FATF 권고안은 한국을 포함해 세계 180개 나라에서 국제 규범으로 승인돼 사실상의 구속력을 발휘한다. 일본 최대 암호화폐 거래소 코인체크는 지난해 4월 모네로, 지캐시, 대시, 어거의 상장폐지를 결정했다.

[이미지=iclickart]

스모민루(Smominru)는 대표적인 모네로 크립토재킹 봇넷이다. 현재까지 발견된 봇넷 가운데 최대 규모인 약 52만 개의 윈도우 시스템으로 구성됐다. 일각에선 100만 개로 잡기도 한다. 스모민루는 취약점 도구인 이터널블루를 통해 호스트를 감염시킨다. 리눅스 서버의 마이SQL(MySQL)과 윈도우 서버의 MSSQL DB도 타깃으로 삼는다. 보안업체 프루프포인트에 따르면, 현재까지 스모민루가 크립토재킹으로 벌어들인 돈은 약 360만 달러(41억 원)로 추정된다. 프루프포인트는 스모민루는 처음 발견하고, 분석한 업체다.

최근엔 개인 PC를 암호화폐 채굴용 ‘좀비 PC’로 만드는 봇넷이 발견돼 주의가 요구된다. 보안업체 트렌드마이크로는 지난 20일 안드로이드 개발자 툴인 ADB(Android Debug Bridge)를 통해 확산되는 신종 크립토재킹이 발견됐다고 밝혔다. 미라이 악성코드의 변종인 사토리(Satori) 봇넷과 공격 방식이 유사한 이 봇넷은 ADB와 원격 접속 지원 프로토콜 SSH를 통해 유포된다. 트렌드마이크로는 “전 세계 21개 나라에서 멀웨어 활동이 탐지됐으며 특히, 한국 피해 사례가 많다”고 전했다.

광고 차단하고, 백신 프로그램으로 시스템 검사하고
코인하이브와 같은 자바스크립트 형식의 크립토재킹은 웹사이트 광고를 통해 사용자의 PC로 전파된다. 광고 차단 기능을 갖춘 웹 브라우저나 프로그램을 사용하면 이를 원천적으로 막을 수 있다. 독일의 아이오(Eyeo)에서 개발한 ‘애드블록 플러스(ABP)’는 인터넷 익스플로러, 모질라 파이어폭스, 구글 크롬, 엣지, 사파리, 오페라, 맥스콘 등 웬만한 종류의 브라우저를 지원하며, 비용도 무료다.

백신 프로그램으로 꾸준히 시스템 검사를 진행하는 것도 방법이다. 크립토재킹 멀웨어는 사용자의 PC 자원을 적극 활용하기 때문에, 시스템에 침투했을 경우 PC 속도의 하락을 동반하는 경우가 많다. 또 알려지지 않은 크롬 브라우저 확장 프로그램은 설치하지 않는 게 좋다. 공짜 등을 빌미로 크립토재킹 스크립트가 심겨진 프로그램의 설치를 요구하기 때문이다.
[양원모 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)