몰래 잠입해 채굴하거나 지갑을 털거나 거래소를 공격하거나
채굴 코드 설치됐다는 건 다른 사이버 범죄에 문을 열었다는 뜻

[보안뉴스 문가용 기자] 사이버 범죄자들 사이에서 암호화폐 채굴 공격이 유행하고 있어, 기업들의 항시적인 경계 태세가 요구되고 있다. 컴퓨터의 프로세싱 파워와 전기세를 불법적으로 가로채 암호화폐를 채굴함으로써 이득을 거두고 있는 사이버 공격자들의 행태에 대해 최근 여러 보안 업체들이 보고서를 발표하고 있다. 즉, 컴퓨터를 가졌고 전기를 사용한다는 사실만으로 공격 대상이 될 수 있다는 것이다.


최근 보안 업체 디지털 셰도우즈(Digital Shadows)는 “개인을 노리던 불법 암호화폐 채굴 코드가 이제 기업들에게도 위협이 되기 시작했다”고 경고했다. 또 다른 보안 업체 크라우드스크라이트(CrowdStrike) 역시 최근 보고서를 발표해 “수많은 기업들이 최근 들어 암호화폐 채굴 공격에 피해를 입고 있다”고 알렸다. 크라우드스트라이크의 서비스 책임자인 브라이언 요크(Bryan York)는 “채굴에 컴퓨터 자원이 소모되어 며칠 동안 업무가 마비된 곳도 있었다”고 말한다.

암호화폐 채굴은 꽤나 복잡한 프로세스로, 컴퓨터의 리소스가 블록체인 거래 확인하는 데에 크게 소모된다. CPU에 걸리는 부하가 높고, 리소스를 많이 잡아먹으며, 심지어 코인에 따라서는 하드웨어 소모도가 높아지기도 한다. 하나의 성능 좋은 컴퓨터를 통해 필요한 자원을 충당할 수도 있지만, 다량의 컴퓨터를 끌어다 써서 필요한 CPU 파워와 리소스를 보충하는 것도 가능하다. 채굴 자체는 합법적인 행위다.

하지만 사이버 범죄자들은 자기가 소유하고 있는 컴퓨터만으로 채굴이 원활하지 않자 다른 사람의 컴퓨터에도 몰래 채굴 코드를 심어 돈을 벌어들이기 시작했다. 타인의 컴퓨터에 대한 통제권을 빼앗아 오는 건 이전 해킹 공격과 비슷한데, 정보를 훔치거나 랜섬웨어를 심는 게 아니라 자신의 채굴 장비로 변환시킨다는 것이다.

“공격이 이런 식으로 바뀌니 탐지가 정말 힘들어졌습니다.” 시스코 탈로스(Cisco Talos) 팀 역시 최근 보고서를 통해 이런 결론을 내렸다. “공격자들이 뭔가를 훔쳐가거나 감시하는 등의 ‘수상하다’고 여겨지던 행위들을 하지 않으니까요. 사용자와 똑같이 CPU와 컴퓨터 리소스들을 사용하는 것뿐입니다. 채굴 코드를 아직 기술적으로 ‘멀웨어’라고 분류하고 있지도 않고요.”

심지어 어떤 공격자들은 남의 CPU를 몰래 사용할 때 스스로 한계선을 정해두기도 한다. CPU가 과도하게 소모되어 사용자가 시스템의 느려짐을 통해 채굴 행위를 의심하지 못하도록 하기 위해서다. 그러니 자기 컴퓨터가 남의 지갑을 부풀려주고 있다는 사실을 일반 사용자들은 알아낼 길이 없다.

그런데 이렇게 ‘불법적인 채굴’을 몰래 하는 건 암호화폐 관련 사이버 범죄 유형 중 하나일 뿐이다. 사이버 범죄자들 중 암호화폐가 들어있는 전자지갑 자체를 노려 큰 돈을 한 번에 털어가는 걸 선호하는 이들도 있다. 사용자 개개인의 지갑을 노리기도 하고, 아예 암호화폐 거래소를 털어 회사 돈과 고객의 돈을 전부 쓸어가기도 한다. 지난 주에는 일본의 암호화폐 거래소인 코인체크(CoinCheck)에서 5억 달러의 돈이 사라지기도 했다.

디지털 셰도우즈의 분석가인 마이클 매리엇(Michael Marriott)은 “ICO에 대한 허위 정보로 피싱 공격을 하기도 하고, 실제 ICO 프로세스에 참가하여 코인 송금할 지갑 주소를 자기 것으로 바꾸”는 경우도 있다고 덧붙인다.

그렇지만 사이버 범죄자들 역시 리스크를 최소화하고 싶어 하는 게 당연하다. 그래서 한 탕 크게 벌이는 부류들보다는 소리 소문 없이 채굴 코드를 심고 한푼 두푼 벌어들이려는 시도들이 훨씬 많다. 수많은 암호화폐 코인들 중 모네로(Monero)가 급격히 치고 올라온 것에 이러한 이유가 작용했다. 모네로는 비교적 저사양 컴퓨터로도 채굴이 가능하기 때문이다. 탈로스 팀에 의하면 “컴퓨터 2천 대를 하이재킹한 공격자는 하루에 약 500 달러를 채굴한다.”

이런 유행을 확산시키는 또 다른 요인은 초보 사이버 범죄자들을 위한 ‘키트’가 널리 판매되고 있다는 점이다. “사이버 범죄자들은 채굴용 봇넷을 대여해주기도 합니다. 그것도 한 달에 30달러 정도일 뿐이고, 비싸봐야 130달러 정도 합니다. 심지어 채굴 코드를 더 퍼트리기 위한 소프트웨어도 싼 값에 팔고 있죠. 가장 저렴한 건 29달러 정도 해요.” 디지털 셰도우즈의 설명이다.

그러다보니 다른 범죄 행위를 주특기로 삼아왔던 부류들 역시 암호화폐로 눈을 돌리고 있다. 매리엇은 “랜섬웨어 공격자들 중에서도 그 동안 해왔던 사업을 포기하고 암호화폐에 집중하는 이들이 꽤나 된다”고 말한다. “예를 들어 비너스락커(VenusLocker)라는 랜섬웨어의 공격자들은 암호화 기능을 뺀 변종을 퍼트리기 시작했습니다. 랜섬웨어인데 암호화 기능은 없고 채굴 기능만 있죠. 리그(RIG) 익스플로잇 킷에도 모네로 채굴 코드가 포함되었더군요.” 사물인터넷 봇넷인 사토리(Satori) 역시 디도스 공격에 강점이 있었지만 최근 암호화폐 채굴에 손대기 시작했다.

최근 공격자들은 깃허브(GitHub) 등의 개발자 커뮤니티를 활발히 돌아다니며 클라우드 서비스의 키들을 찾기 시작했다. 채굴에 클라우드 시스템까지 동원하려는 것이다. “공격자들이 실제로 AWS와 같은 클라우드 서비스 계정을 침해해 채굴을 시작한다고 하면, 더 많은 범죄들이 연달아 일어날 것입니다. 채굴을 위해 클라우드에 접근했다는 건, 그 안에 저장된 수많은 정보들에 접근할 수 있다는 것이니까요. 그 많은 정보들을 보고도 ‘난 채굴만 하러 왔어’라고 생각하는 범죄자들은 많이 없을 겁니다.”

크라우드스트라이크는 “최근 교육, 엔터테인먼트, 금융, 의료, 보험, 기술 부문에서 암호화폐 채굴 공격이 많이 일어나고 있다”고 말한다. “워너마인(WannaMine)이라는 암호화폐 채굴 웜이 있는데, 꽤나 고급 기술을 동원해 증식하고 시스템 혹은 네트워크 내애 숨어 있습니다. 이 말은 암호화폐만이 아니라 다른 사이버 범죄도 충분히 가능해진다는 뜻입니다.”

시스코 탈로스의 위협 분석가 닉 비아시니(Nick Biasini)는 “이미 채굴 코드가 어딘가에 숨겨져 있지만 찾아볼 생각도 하지 않는 기업들이 많을 것”이라고 본다. “남이 내 컴퓨터로 돈 버는 게 배 아프니까 나쁘다는 게 아닙니다. 내 컴퓨터로 채굴을 할 줄 아는 공격자들은, 사실 다른 범죄도 얼마든지 저지를 수 있다는 뜻이 된다는 게 더 무서운 겁니다. 네트워크 모니터링을 꾸준히 하는 게 가장 중요하고, 시스템이 이상하게 무겁고 느려진 것 같다면 당장 검사를 실시해야 합니다.”

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>