KISA, 정통망법상 ‘악성 프로그램’으로 규정하고 차단 등 조치
웹사이트 내 삽입된 채굴 프로그램도 동의 없으면 불법
국내선 대부분 해킹에 의한 삽입...해외 웹사이트는 직접 채굴 프로그램 설치

[보안뉴스 원병철 기자] 현재 대한민국은 가상화폐(암호화폐) 전성시대를 맞고 있다. 정보를 빠르게 접하던 IT 관계자는 물론 일반 직장인들도 가상화폐를 구입하고 있으며, 개강을 앞둔 교수님들은 가상화폐에 빠진 학생들 걱정에 한숨을 내쉬고 있다. 정부는 가상화폐를 투기로 보고 규제하려고 하지만, 가상화폐 시장은 이를 비웃듯 가파르게 상승과 폭락을 거듭하고 있다.


가상화폐를 직접 구입하지 못하거나 돈이 아닌 다른 방법으로 가상화폐를 갖고 싶은 사람들은 이른바 ‘채굴(마이닝, Mining)’을 선택한다. 가상화폐의 진짜 이름이 암호화폐인 것처럼 가상화폐는 주어진 문제(암호)를 풀면 가상의 화폐를 제공하는데, 이 모습이 마치 금광에서 금을 캐는 것과 같다고 해서 ‘채굴한다’고 표현하고, 문제를 푸는 프로그램을 ‘채굴 프로그램’이라고 부른다. 채굴작업에 필요한 고사양의 그래픽카드(GPU) 가격이 몇 배로 급등할 정도로 많은 사람들이 채굴에 뛰어들고 있지만, 워낙 고성능의 장비(컴퓨터)와 전기가 필요하기 때문에 일반인들은 도전하기 어렵다.

이처럼 가상화폐 채굴이 어렵자 편법을 쓰는 사람들이 등장하기 시작했다. 바로 다른 사람의 PC를 몰래 활용(?)하기 시작한 것이다. 채굴 프로그램이 악성코드 형태로 등장한 것은 2013년 이전이다. 2013년 10월 마이크로소프트 인터넷 익스플로러 취약점(CVE-2013-3897)을 통해 국내 PC 2만 8,000여대를 악성코드에 감염시켜 디도스(DDoS) 공격, 원격제어, 게임계정 유출 등을 노린 공격자들이 있었다. 당시 해커들은 2013년 12월 게임계정 유출기능을 업그레이드해서 가상화폐를 채굴하는 방식으로 변경했다고 국내 보안기업 하우리에서 밝힌 바 있다.

이는 해외도 마찬가지. 러시아는 러시아 전체 컴퓨터의 1/4이 이러한 채굴 프로그램에 감염됐다고 정부 고위직이 말할 정도로 채굴 프로그램이 만연해 있는 것으로 알려졌다. 또한, 2016년 미국의 한 보험회사는 자신들도 모르게 전 세계의 약 1만대 가량의 기기를 봇넷으로 부리고 있었는데, 그 이유가 모네로의 채굴 때문인 것으로 확인됐다.

게임을 불법으로 조작하기 위한 ‘게임핵(Game hack)’에 비트코인 채굴기능을 장착해 게임 이용자의 PC를 몰래 장악하거나, 워너크라이처럼 윈도우의 SMB 취약점을 노려 가상화폐 채굴 툴인 ‘아딜커즈’를 몰래 설치하는 대규모 공격이 진행되어 수십만 대의 시스템을 장악하기도 했다.

문제는 이러한 가상화폐 채굴 프로그램이 불법인지 아닌지에 대한 명확한 잣대가 없다는 사실이다. 일반적으로 채굴 프로그램 자체는 문제가 없는 것으로 알려졌다. 애초에 가상화폐를 채굴하기 위해 만들어졌기 때문에 사용자가 알고 사용하면 일반적인 프로그램이 되기 때문이다.

사용자 동의없는 채굴 프로그램은 악성 프로그램
그렇다면 사용자 몰래 사용자의 컴퓨팅 파워를 사용하는 경우는 어떨까? 현재 이러한 방법은 ①사용자의 PC에 몰래 설치하는 멀웨어형 채굴 프로그램과 ②웹사이트에 설치해 사용자가 홈페이지에 머무를 동안에만 가상화폐를 채굴하도록 하는 웹사이트형 채굴 프로그램으로 나뉜다.

보안분야 중 민간 영역을 담당하는 한국인터넷진흥원(KISA)은 채굴 프로그램에 대해 ‘사용자 동의’가 이루어지지 않았다면 무조건 ‘악성 프로그램’으로 판단한다고 강조했다. KISA 침해사고분석단의 이동근 단장은 “최근 이슈가 되고 있는 채굴 프로그램에 대해 KISA에서도 예의주시하고 있는 중”이라면서 “프로그램 자체로는 악의적인 내용이 없어 스스로 사용하는 것은 문제가 될 것이 없지만, 사용자의 동의를 받지 않고 사용하는 경우는 정통망법에 따른 악성 프로그램’으로 정의하고 차단한다”고 설명했다.

정통망법, 즉 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조(정보통신망 침해행위 등의 금지) 2항에 따르면 ‘누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램(이하 ’악성프로그램‘이라 한다)을 전달 또는 유포하여서는 아니 된다’고 명확하게 나와 있다. 사용자의 동의 없이 사용자의 컴퓨팅 파워를 몰래 사용하는 채굴 프로그램은 이 조항에 따라 악성 프로그램이 된다는 게 KISA의 판단이다.

이는 이용자 PC에 몰래 설치하는 행위와 웹사이트 방문시 작동할 경우 ‘방문자’에게 동의를 받지 않는 행위 모두에 해당한다. 이동근 단장은 “아직 국내 웹사이트에서의 채굴 프로그램 삽입은 그리 많지 않다”면서, “또 대부분 해킹으로 인한 스크립트 방식의 채굴 프로그램 삽입이며, 해외처럼 홈페이지가 직접 채굴 프로그램을 설치하는 경우는 없었다”고 설명했다.

백신 등 엔드포인트 보안 솔루션도 같은 맥락에서 채굴 프로그램을 차단하고 있다. 보안기업 하우리는 정상적인 채굴 프로그램은 진단하지 않고, 오직 공격자에 의해 변형 제작된 채굴 프로그램만 진단 및 차단한다. 다만 웹 기반의 채굴 프로그램은 정상적인 채굴 프로그램을 활용하기 때문에 아직까지는 차단하지 않고 있으며, 추가적인 상황 전개에 따라 대응한다는 입장이다.

가상화폐 광풍이 국내외에 몰아치면서 이를 노린 사이버 공격도 늘고 있다. 국내에서도 이러한 채굴 프로그램을 삽입하는 공격이 등장하고 있는 만큼 이에 대한 각별한 주의가 필요하다. 특히, PC로 별다른 작업을 하지 않음에도 불구하고, PC가 느려지는 등 CPU나 GPU의 사용이 늘어난다면 이러한 채굴 프로그램 설치를 의심해볼 필요가 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>