올 한 해 극성이었던 암호화폐 채굴 공격, 가치 떨어지면서 시들
새로운 수입 찾아나선 공격자들, 최근 모듈형 멀웨어 선호하기 시작

[보안뉴스 문가용 기자] 암호화폐의 가치가 점점 떨어지고 있다. 이에 따라 돈을 벌고자 했던 사이버 공격자들의 전략이 바뀌고 있다. 그러면서 크립토재킹 공격의 하락세가 눈에 띌 정도로 분명하게 나타나고 있다고 한다.


사이버 범죄자들은 돈이 있는 곳에 반드시 출현한다. 그리고 2018년 한 해 동안 돈은 암호화폐 시장에 쏠렸었다. 공격자들은 각종 암호화폐 채굴 멀웨어를 만들고 사용해왔으며, 이를 세계 곳곳의 다양한 장비들에 심어 지갑을 불려왔다. 이 공격이 얼마나 흥행했는지, 랜섬웨어가 갑자기 사라진 것처럼 보일 정도였다.

물론 랜섬웨어가 정말로 주춤한 건 아니다. 랜섬웨어 역시 올해 성장세를 이어갔다. 다만 암호화폐 만큼 큰 폭으로 자란 건 아니다. 암호화폐 채굴 코드는 2018년 1사분기에만 629% 성장했고, 2사분기에는 250만 개의 새로운 채굴 코드 샘플이 등장하기도 했다. 암호화폐 채굴 공격이 눈에 많이 띈 것이 착각만은 아니다.

“공격자들에게 있어 암호화폐 채굴 공격은 안정적이고 끊임이 없는 수입원입니다. 한 탕 벌어서 먹고사는 것보다 한 번에 얻는 건 많지 않을지 몰라도, 계속해서 돈이 흘러들어온다는 건 안정감이라는 측면에서 크게 다르죠.” 시스코 탈로스 팀의 분석가인 닉 바시니(Nick Basini)의 설명이다.

하지만 암호화폐 채굴이라고 해서 불안요소가 없는 건 아니다. 그 중에서도 최고의 변수는 변동이 심한 암호화폐의 가치다. 시스코 타로스 팀은 새로운 보고서를 통해 “최근 암호화폐 채굴 공격자들은 기본적인 가정용 PC를 통해 하루에 0.25 달러를 번다”고 발표했다. 그나마도 지금은 0.04 달러로 줄어들었다. 바시니는 “2018년 한 해 동안 암호화폐의 가치는 75~85% 줄어들었다”고 설명한다. 공격자의 수익도 마찬가지다.

“최근 몇 달 동안 암호화폐의 가치가 급격하게 떨어지고 있는 걸 목격하고 있습니다. 모든 암호화폐가 다 그렇습니다. 사이버 범죄자들 사이에서 선호도가 높은 모네로의 경우 그 낙차가 엄청났습니다. 공격자들이 암호화폐를 완전히 버릴 거라고 보진 않지만, 암호화폐에만 전적으로 의존해서는 안 될 정도까지는 왔습니다. 그래서 전략이 바뀌고 있습니다.”

모듈 구성의 멀웨어로 선택지 넓히기
탈로스의 분석 보고서에 따르면 공격의 지형도가 어떻게 변하고 있는지를 살피려면 스팸 수위를 분석해야 한다고 한다. “현재 스팸의 대부분은 봇넷이 생성하는 것이며, 이 봇넷은 사이버 공격자들이 수익 창출을 목적으로 운영하고 있었습니다. 2018년 초반만 해도 봇넷들은 악성 암호화폐 채굴을 끊임없이 배포하고 있었습니다.”

하지만 이 현상은 점점 바뀌기 시작했다. 암호화폐의 가격은 떨어지고, 공격자들은 여러 가지 다른 전략들을 사용하기 시작했다. 그러면서 봇넷을 통해 다른 페이로드들이 돌아다니기 시작했다. 바시니는 “현재는 ‘모듈형 멀웨어’가 유행하고 있다”고 말한다. “모듈형 멀웨어의 장점은 다양한 페이로드를 통해 여러 가지 공격을 할 수 있다는 것입니다. 즉 공격자들이 암호화폐 말고도 다른 수입처를 찾기 시작했다는 뜻입니다.”

이를 두고 바시니는 “매우 자연스러운 현상”이라고 말한다. “공격자들은 암호화폐라는 안정적인 수익을 잃은 대신 유연성과 더 많은 옵션을 손에 쥐게 되었습니다.” 모듈형 멀웨어의 특징은 장비에 대한 더 많은 정보를 공격자들에게 제공하고, 이를 통해 공격자는 공격 유형을 결정할 수 있게 된다는 것이다. “성능이 뛰어난 게임 전용 컴퓨터라면 암호화폐 채굴에 적당하고, 임원진의 랩톱 컴퓨터라면 크리덴셜을 훔치는 게 좋겠죠.”

물론 암호화폐의 가치가 영원히 지금처럼 낮을 거라고 단언할 수는 없다. 얼마든지 다시 올라갈 수도 있는 건데, 정말로 그런 일이 일어난다면 “공격의 트렌드는 또 바뀔 것”이다. “현재의 암호화폐 가치에 따라 공격자들이 빠르게 적응하고 있는 걸 볼 수 있다는 게 중요한 겁니다. 수익을 만드는 데 있어 사이버 공격자들은 더 똑똑해지고 있습니다.”

암호화폐 채굴 공격, 어디로 가고 있나
탈로스 팀은 위 내용과 별개의 블로그 게시글을 통해 암호화폐 채굴에 집중하고 있는 범죄 그룹 세 곳에 대해 언급하기도 했다. 이 그룹의 이름은 로크(Rocke), 8220 마이닝 그룹(8220 Mining Group), 토르2마인(Tor2Mine)이다. 이들은 비슷한 도구, 방법, 절차를 사용해 공격을 하는데, 이미 수십만 달러의 수익을 거두었다고 한다.

“악성 셸 스크립트를 JPEG 파일처럼 위장해서 사용하는데, 그 이름도 logo.jpg로 같습니다. 익스플로잇이 있는지 확인을 하고, 최근에 발견된 취약점이 있는지 스캔하는 것도 같습니다. 특히 아파치 스트러츠 2(Apache Struts 2), 오라클 웹로직(Oracle WebLogic), 드루팔(Drupal)의 취약점을 좋아합니다. 이들의 악성 페이로드는 페이스트빈과 깃 저장소에 호스팅 되어 있습니다.”

이 세 그룹 역시 최근 암호화폐 가치 하락에 영향을 받고 있다고 바시니는 설명한다. “그래서 로크는 랜섬웨어처럼 위장된 파괴형 멀웨어를 사용하기 시작했습니다. 아마도 협박의 종류를 늘려 반드시 돈을 받아내겠다는 급박함에서 비롯된 전략이 아닐까 합니다.”

3줄 요약
1. 암호화폐 채굴, 사이버 공격자들의 대표적인 ‘안정적 수익.’
2. 하지만 암호화폐 가치 자체 하락하면서 공격자들도 흔들리기 시작.
3. 여러 공격 가능하게 해주는 모듈형 멀웨어가 최근 인기 급상승 중.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>