보안 업체 퀄리스, 한국 시간으로 내일부터 무료 플러그인 배포
블랙리스트 처리뿐만 아니라 패턴 탐지로 알려지지 않은 채굴코드도 방어

[보안뉴스 문가용 기자] 보안 업체 퀄리스(Qualys)가 구글 크롬용 확장 프로그램을 개발해 무료로 배포하기 시작했다. 이 확장 프로그램은 크립토재킹 공격을 막는 기능을 가지고 있으며 이름은 브라우저체크 코인블로커 엑스텐션(BrowserCheck CoinBlocker Extension)이다.


퀄리스에 따르면 이 엑스텐션은 암호화폐 채굴 사이트들을 모아놓은 블랙리스트 기능과, 아직까지 알려지지 않은 크립토재킹 공격 유형들을 막는 기능을 포함하고 있다고 한다. 이미 알려진 것들과 알려지지 않은 것들 모두를 방어한다는 것인데, 이 플러그인이 공식적으로 배포되기 시작하는 건 현지 시간 기준으로 7월 25일 수요일이다. 하지만 구글 크롬 웹 스토어에는 이미 이 플러그인이 올라와있다.

크립토재킹 공격은 보통 웹사이트를 자바스크립트로 감염시킴으로써 시작된다. 그래서 누군가 이 사이트를 방문했을 때, 브라우저를 통하여 악성 코드를 다운로드 받게 된다. 방문자의 컴퓨터는 채굴에 사용되기 시작하고, 채굴로 얻어진 모든 돈은 공격자의 주머니로 들어간다. 이 과정에서 피해자의 컴퓨터 자원이 극도로 소모된다.

퀄리스의 멀웨어 분석 엔지니어이자 이번 엑스텐션 제작에 참여한 앙쿠르 티야기(Ankur Tyagi)는 “이미 크립토재킹을 방어해주는 크롬 확장 프로그램은 시중에 있어왔지만, 대부분 IP 주소를 블랙리스트 처리하는 기능을 가진 것들이었다”고 설명하며, “알려지지 않은 크립토재킹까지 막아주는 건 보지 못했다”고 말한다.

뿐만 아니라 퀄리스가 발표한 브라우저체크 코인블로커 엑스텐션은 인기가 높은 암호화폐 채굴 소프트웨어인 크립토나이트(CryptoNight)와 그 변종들을 탐지하는 기능도 가지고 있다. 크립토나이트는 현재 모네로를 채굴하는 소프트웨어 중 가장 인기가 높다고 볼 수 있다. 일반 사용자나 공격자 모두에게서 말이다.

크립토나이트 패밀리 내에는 바이트코인(ByteCoin), 디지털 노트(Digital Note), AEON, 로키(Loki), 비트튜브(BitTue) 등이 있다고 티야기는 설명한다. 브라우저체크 코인블로커는 이러한 소프트웨어들이 공통적으로 가지고 있는 패턴을 인식하고, 암호화폐 채굴 코드들이 가지고 있는 알고리즘의 행위들을 탐지해낼 수 있다고 한다.

브라우저체크 코인블로커의 작동 방식은 다음과 같다.
1) 사용자가 웹사이트를 방문한다.
2) 코인블로커가 악성 자바스크립트가 있는지 검색한다.
3) 찾아내면 브라우저가 자바스크립트를 다운로드 받는 걸 중단시킨ㄴ다.
4) 또한 채굴이 이뤄지는 사이트를 차단한다.

퀄리스는 가까운 미래에 파이어폭스, 사파리, 인터넷 익스플로러에서 사용 가능한 플러그인도 개발, 발표할 예정이다.

구글 또한 암호화폐 채굴 행위가 기승을 부리는 걸 잘 알고 있다. 지난 4월, 크롬 웹 스토어에서 채굴 기능을 가지고 있는 플러그인을 대부분 삭제시켰다. 물론 사용자 몰래 암호화폐 채굴 기능을 가동시키는 앱들이 삭제 대상이었다.

현재 전 세계 암호화폐 시장은 2700억 달러에 달한다고 한다. 퀄리스는 “그러므로 공격자들 입장에서 군침이 돌 수밖에 없다”고 설명한다. 또한 악성 코인 채굴 샘플은 올 1사분기 동안 629% 증가했다고 보안 업체 맥아피(McAfee)가 발표한 바 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>