• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

암호화폐 채굴 코드, 점점 더 파괴적으로 변해간다 2018.01.26

몰래, 오래 머물며 이득 취하는 전법은 빠르고 파괴적인 속도전으로 바뀌어
스매시 앤드 그랩 전략, 최근 채굴 코드 사용하는 공격자들 사이에서 유행

[보안뉴스 문가용 기자] 최근 암호화폐 채굴 도구들이 사이버 공격에 활용되는 사례가 급증하고 있다. 얼마 전까지만 해도 남의 컴퓨팅 파워를 몰래 빼돌리는 것이 고작이었는데 요즘은 더 파괴적인 행태까지도 수반하고 있다. 보안 업체 크라우드스트라이크(CrowdStrike)가 “채굴 코드 때문에 시스템뿐만 아니라 사업 진행 자체가 마비되는 사례가 늘어나고 있다”며 이러한 사실을 커뮤니티에 알려왔다.

[이미지 = iclickart]


게다가 채굴용 코드 자체도 더 고급화 되고 있다는 것도 문제다. “최근 암호화폐 채굴 ‘웜’이 등장했습니다. 이름은 워너마인(WannaMine)이고, 윈도우 관리 도구(WMI)의 영구 이벤트 구독 기능을 활용해 시스템에 지속적으로 남아 공격을 진행합니다. 거의 국가가 후원하는 해커들 수준까지 올라온 것이죠.”

여태까지 채굴 코드는 정상 애플리케이션처럼 위장해 사용자들이 설치하기를 기다렸다가 활동을 시작했다. 하지만 WMI이나 파워셸처럼 윈도우 등에 이미 존재하는 애플리케이션을 악용하는 채굴 코드는 처음이다.

이렇게 발전된 채굴 코드를 제일 처음 발견한 건 보안 업체 팬더 시큐리티(Panda Security)로 지난 10월 모네로 채굴 코드에서 이러한 현상을 목격했다. 당시 팬더 시큐리티 전문가들이 발견한 건 파일레스 공격이었다. “모네로 채굴을 위해 파일레스 공격 기술까지 동원을 하니, 탐지가 거의 불가능합니다. 사실상 할 수 있는 일은 이런 공격을 계속 받아 시그니처가 생기기를 기다리는 것뿐입니다.”

일부 기업들은 암호화폐 채굴 멀웨어 공격을 받고 수일에서 수주 동안 제대로 사업 운영조차 할 수 없었다고 한다. 채굴 코드가 CPU를 전부 소모하는 바람에 다른 일을 진행시킬 수가 없었기 때문이다.

이러면서 사이버 공격자들의 ‘멘탈리티’가 바뀌었다고 크라우드스트라이크는 지적한다. “이전까지 금전적인 목적을 가진 사이버 범죄자들은 ‘몰래’, ‘되도록 오래 머물며’ 이득이 되는 건 뭐든 취하는 게 보통이었습니다. 그런데 최근엔 들키든 말든 걸리는 건 다 부수고 들어가 재빨리 채굴을 해내는 게 더 이득이라는 생각이 자리 잡았어요. 소매치기가 날강도로 변모하고 있는 것이죠. 이를 스매시 앤드 그랩(smash and grab) 전략이라고 합니다. 그래서 채굴 코드 공격이 점점 더 파괴적으로 바뀌는 것이고요.”

‘몰래한다’는 의도가 사라지기 시작한 건 낫페트야(NotPetya) 때부터라고 크라우드스트라이크의 서비스 책임자인 브라이언 요크(Bryan York)는 주장한다. “낫페트야는 랜섬웨어인척 하면서 돈을 내든 말든 파일 복구시켜 줄 의도가 전혀 없다는 게 노골적으로 드러난 멀웨어였죠.” 그리고 이번에 발견된 워너마인이 그러한 의도를 본격적으로 계승하고 있다는 게 그의 견해다.

워너마인이 공격에 사용하는 크리덴셜은, 크리덴셜 수집을 전문적으로 수행하는 멀웨어인 미미캣츠(Mimikatz)에서부터 나온 것으로 보인다. 미미캣츠의 크리덴셜로 공격에 성공하지 못할 경우, 워너마인은 이터널블루(EternalBlue)라는 익스플로잇을 가동시킨다. 이터널블루는 워너크라이 사태 때 발견된 취약점 해킹 툴의 일종으로, NSA가 사용해왔다는 의혹을 받고 있다. 채굴 코드가 이러한 메커니즘과 기술을 가지고 있는 예는 여태껏 없었다고 한다.

삭제도 어렵다. 매우 공격적으로, 빠르게 퍼지기 때문이다. 또한 크라우드스트라이크는 아직도 누가 이 공격의 배후에 있는지 짐작하기도 힘들다고 말한다. 금전적인 목적을 가진 공격자 같기도 하고 국가를 등에 업고 활동하는 전문 해커처럼도 보이기 때문이다.

이 두 가지 특징을 다 가졌고, 암호화폐를 집중적으로 노리는 세력이라면 제일 먼저 떠오르는 게 북한이다. 하지만 크라우드스트라이크는 아직 아무런 언급을 하고 있지 않다.

또한 WMI나 파워셸 등을 이용한 것이라면 공격자들이 애초에 어떻게 시스템에 침투했느냐도 풀리지 않는 숙제로 남는다. 크라우드스트라이크도 아직 이 점에 대해서는 완벽한 분석 내용을 내놓고 있지 못하다. 다만 엔드포인트 보안 강화를 통해 이러한 ‘스매시 앤드 그랩’ 공격에 당할 확률을 낮출 수 있다고 권고한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>