브라우저 기반의 크립토마이너, 사용자 몰래 모네로 채굴
작업 관리자 가끔씩 열어 CPU 사용 현황 살피는 습관 필요

[보안뉴스 문가용 기자] 새로운 드라이브 바이 크립토마이닝(drive-by cryptomining) 공격이 점점 더 심각해지고 있다. 암호화폐를 채굴하기 위한 악성코드가 계속 진화하고 있는 셈이다. 예전에는 자신의 웹사이트에 방문한 사람들의 CPU 파워를 빌려 모네로(Monero)라는 암호화폐를 채굴하는 것이 공격의 주요 수법이었다면, 지금은 웹사이트에 방문한 사람들이 웹 브라우저를 꺼도 채굴이 계속 진행되도록 하고 있다.


이 공격자들이 사용하는 건 숨겨진 브라우저 창으로, 사용자가 보고 있는 화면 배경에 팝업 창을 하나 띄우고 채굴을 진행한다. 이 창은 매우 작아서 사용자의 태스크바 뒤편, 시계 밑쪽으로 감춰진다. 이는 보안 업체 멀웨어바이츠(Malwarebytes)가 찾아내 회사 블로그를 통해 발표했다.

멀웨어바이츠는 “이러한 채굴 행위가 발견된 건 한 성인 사이트”였다며 “이미 광고로 도배가 되어 있었다”고 말한다. 또한 숨겨진 채굴 창은 사용자의 모니터 해상도에 따라 크기를 달리하기도 했다고 한다. 다만 x의 위치와 y의 위치만은 고정적이었다.

공격은 다음과 같은 시나리오를 따라 발생한다. 1) 공격자가 웹페이지에 크립토마이닝 스크립트를 삽입한다. 2) 피해자가 이 사이트를 방문한다. 3) 크립토마이닝 스크립트가 조용히 피해자의 컴퓨터에 로딩된다. 4) 피해자가 해당 사이트에 계속 머무르고 있을 땐 CPU를 최대치로 활용하지는 않지만 5) 피해자가 창을 닫으면 CPU 활동량이 올라간다.

사용자들 중 태스크바를 투명하게 설정해놓는 이들은 이 창을 발견할 수 있다. 태스크바가 자동으로 감춰지게 해놓거나 크기나 위치를 여느 사용자들과 다르게 해놓는 것도 이 창을 발견하는 데에 도움이 된다. 이 작은 악성 창은 AWS 서버를 통해 호스팅되고 있었다는 것 또한 멀웨어바이츠는 밝혀냈다. 또한 팝업창을 감춰놓는 건 애드메이븐(Ad Maven)이라는 광고 네트워크에서 ‘광고 차단 옵션’을 우회하기 위해 만들어 배포하고 있던 것이었다.

멀웨어바이츠는 작업 관리자를 종종 열어 어떤 일들이 내 시스템 안에서 진행되고 있는 살필 필요가 있어 보인다고 권장했다. “크립토마이너 공격만이 아니라 광고 차단 옵션을 피해가는 교묘한 기술들도 개발되고 있기 때문에, 쓸데없는 전기세를 억울하게 내고 싶지 않은 인터넷 사용자라면 작업 관리자 살피는 것도 습관처럼 삼아야 할 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>