2018.02.05

범죄자 니즈 맞춤형··· 신종 암호화폐의 생태학

Maria Korolo | CSO

비트코인(Bitcoin)보다 추적하기 어렵고 개인 정보를 더 잘 숨기는 신종 익명 암호화폐가 사이버 범죄자들 사이에 득세하고 있다. 모네로(Monero)와 지캐시(Zcash) 같은 암호화폐들이다. 그럼에도 불구하고 오늘날 랜섬웨어 몸값 지급에 주로 선택되는 화폐는 여전히 비트코인이다. 대중들이 구하기 더 쉽기 때문이다.

단기적으로 익명 암호화폐가 기업에게 미칠 수 있는 큰 영향 중 하나는 범죄자들이 화폐 채굴을 위해 기업 컴퓨터를 하이재킹(hijacking)하고 있다는 점이다. 크라우드스트라이크(CrowdStrike, Inc)의 서비스 책임자 브라이언 요크는 “이러한 크립토재킹(cryptojacking)과 같은 불법적인 방식으로 버는 돈은 추적될 가능성이 낮아야 한다는 조건이 따른다”라고 설명했다.

게다가, 모네로의 경우 비트코인 채굴에 비해 수행하기 쉽다. 채굴자가 돈을 벌려면 대개 특수 컴퓨팅 장비가 필요하다. 반면, 모네로는 일반 컴퓨터로 채굴 가능한 상황이라고 사이버 보안 업체 제로폭스(ZeroFox)의 CTO 마이크 프라이스는 설명했다. 채굴이 몇몇 대형 채굴 작업에 집중되어 있지 않고 사람들의 개인 컴퓨터에 광범위하게 분산되어 있다는 의미다.



암호화폐 채굴 봇넷으로 전락
당연한 말이지만 크립토재킹 자체가 문제가 된다. 즉, ‘기기 소유자의 직접 동의 없이 개인용 컴퓨팅 기기에서 채굴을 시도하게 유도한다는 점’이다.

예를 들면 모네로는 사용자의 컴퓨터에서 자바스크립트(JavaScript)를 실행함으로써 채굴될 수 있다. “즉 기기를 감염시켜 봇넷(botnet)을 만들거나 브라우저를 악용해 채굴하는 방식이 매우 매력적일 수 있는 것”이라고 맬웨어 방지 업체 라스트라인(Lastline, Inc.)의 위협 지능 책임자 앤디 노튼은 설명했다.

노튼에 따르면 실제로 모네로 채굴 풀(pool)들이 최근 크게 늘었다. 라스트라인은 크립토재킹이 어떤 도메인을 요청하는지 추적한 결과 상위 8개 중 7개가 모네로, 1개만이 비트코인 대상인 것으로 나타났다.

모네로 암호화폐의 가격 역시 상응하는 비율로 상승해 왔다고 노튼은 밝혔다. 1년 전 12달러에 불과했지만 최근 최고 466달러에 달했다가 본 기사 작성 시점 현재 271달러로 하락했다. 모네로의 시가 총액은 1년 전 1억6,300만 달러에서 70억 달러 이상으로 상승했다.

모네로는 상위 20개 암호화폐 목록에 오른 유일한 익명 화폐이다. 본 기사 작성 시점 현재 13번째로 크다. 지캐시는 26위다.

서버, 데스크톱, 심지어 브라우저도 크립토재킹에 취약
수많은 컴퓨팅 기기를 보유한 기업들들로서는 최종 사용자 기기, 서버, 브라우저에서의 암호화폐 채굴 페이로드(payload)에 유의할 필요가 있다. 노큰은 “이러한 종류의 맬웨어에는 매우 간단한 행동 패턴이 있다”라며 “계층화된 맬웨어 분석 플랫폼을 보유한 조직이라면 이를 마주쳤을 때 쉽게 차단 가능할 것이다”라고 말했다.

룩킹글래스 사이버 솔루션(LookingGlass Cyber Solutions)의 위협 연구 선임 책임자 조나단 토멕은 흔히 알려져 있는 크립토재킹 도메인에 대한 트래픽이나 CPU 사용량이 갑자기 늘어나지 않는지 살필 것을 기업들에게 권고했다.

그는 이어 브라우저 기반 크립토재킹 공격의 경우 자바스크립트를 끄는 것이 한 방법이라고 설명했다. “그러나 이 방식은 항상 사용할 수 없는 곳이 많다. 왜냐하면 자바스크립트를 근간으로 하는 웹 페이지나 내부 응용프로그램이 너무 많기 때문”이라고 그는 덧붙였다.

한편 크립토재킹 맬웨어로 서버를 감염시키는 것은 브라우저를 장악하는 것만큼 쉽지는 않다고 토멕은 말했다. 그는 “하지만 만약 발생한다면 매우 유용한 초기 경보가 될 것”이라고 덧붙였다.

추적이 어려운 암호화폐 만들기
비트코인은 공용 장부를 기반으로 하기 때문에 거래 내용이 전부 누구에게나 공개된다. 단 특정 비트코인 지갑의 소유자를 확인하려면 여전히 어느 정도 발품이 든다. 범죄자들은 이에 더해 자신의 신원을 숨기기 위한 다른 방안들도 갖고 있다.

예를 들면 랜섬웨어 작성자들은 각 희생자마다 별도의 지갑을 만들어서 보안 분석가의 추적을 더욱 어렵게 만들 수 있다. 아니면 ‘믹서’(mixer) 서비스를 사용해 자금 이동을 위장할 수도 있다.

그러나, 비트코인 생태계에 대한 규제 당국의 감시가 더욱 강화되고 있다. 즉 범죄자들이 불법적으로 취득한 금전적 이익은 현금화가 점점 더 어려워지고 있다고 전문가들은 평가했다.

NTT 시큐리티(NTT Security)의 위협 지능용 제품 관리 책임자 크리스 카메조는 “정부 기관들이 블록체인(blockchain)을 통해 비트코인을 추적하다가 비트코인이 또 다른 ‘실물’ 화폐로 교환되면 거래소에 고객의 신원을 밝힐 것을 요구하곤 한다”라고 설명했다.

비트코인의 출처나 특정 공공 사이버범죄 연루 여부가 역추적될 수도 있다. “범죄 거래에 사용된 비트코인은 오염 가능성이 있으며 주소를 블랙리스트에 올릴 수 있다”라고 주니퍼 네트웍스(Juniper Networks)의 사이버 보안 전략가 닉 빌로고르스키는 설명했다.

실제로 지난주 유럽 형사 경찰 기구 유로폴(Europol)이 개최한 워크숍에 32개국 수사 담당자들이 모여 디지털 화폐 믹서에 대비한 조치를 취하기로 합의했다. 또한, 거래소 및 지갑 제공업체를 반 자금세탁 및 반 테러리즘 법률 하에 규제하기로 결정했다.

2018.02.05

범죄자 니즈 맞춤형··· 신종 암호화폐의 생태학

Maria Korolo | CSO

비트코인(Bitcoin)보다 추적하기 어렵고 개인 정보를 더 잘 숨기는 신종 익명 암호화폐가 사이버 범죄자들 사이에 득세하고 있다. 모네로(Monero)와 지캐시(Zcash) 같은 암호화폐들이다. 그럼에도 불구하고 오늘날 랜섬웨어 몸값 지급에 주로 선택되는 화폐는 여전히 비트코인이다. 대중들이 구하기 더 쉽기 때문이다.

단기적으로 익명 암호화폐가 기업에게 미칠 수 있는 큰 영향 중 하나는 범죄자들이 화폐 채굴을 위해 기업 컴퓨터를 하이재킹(hijacking)하고 있다는 점이다. 크라우드스트라이크(CrowdStrike, Inc)의 서비스 책임자 브라이언 요크는 “이러한 크립토재킹(cryptojacking)과 같은 불법적인 방식으로 버는 돈은 추적될 가능성이 낮아야 한다는 조건이 따른다”라고 설명했다.

게다가, 모네로의 경우 비트코인 채굴에 비해 수행하기 쉽다. 채굴자가 돈을 벌려면 대개 특수 컴퓨팅 장비가 필요하다. 반면, 모네로는 일반 컴퓨터로 채굴 가능한 상황이라고 사이버 보안 업체 제로폭스(ZeroFox)의 CTO 마이크 프라이스는 설명했다. 채굴이 몇몇 대형 채굴 작업에 집중되어 있지 않고 사람들의 개인 컴퓨터에 광범위하게 분산되어 있다는 의미다.



암호화폐 채굴 봇넷으로 전락
당연한 말이지만 크립토재킹 자체가 문제가 된다. 즉, ‘기기 소유자의 직접 동의 없이 개인용 컴퓨팅 기기에서 채굴을 시도하게 유도한다는 점’이다.

예를 들면 모네로는 사용자의 컴퓨터에서 자바스크립트(JavaScript)를 실행함으로써 채굴될 수 있다. “즉 기기를 감염시켜 봇넷(botnet)을 만들거나 브라우저를 악용해 채굴하는 방식이 매우 매력적일 수 있는 것”이라고 맬웨어 방지 업체 라스트라인(Lastline, Inc.)의 위협 지능 책임자 앤디 노튼은 설명했다.

노튼에 따르면 실제로 모네로 채굴 풀(pool)들이 최근 크게 늘었다. 라스트라인은 크립토재킹이 어떤 도메인을 요청하는지 추적한 결과 상위 8개 중 7개가 모네로, 1개만이 비트코인 대상인 것으로 나타났다.

모네로 암호화폐의 가격 역시 상응하는 비율로 상승해 왔다고 노튼은 밝혔다. 1년 전 12달러에 불과했지만 최근 최고 466달러에 달했다가 본 기사 작성 시점 현재 271달러로 하락했다. 모네로의 시가 총액은 1년 전 1억6,300만 달러에서 70억 달러 이상으로 상승했다.

모네로는 상위 20개 암호화폐 목록에 오른 유일한 익명 화폐이다. 본 기사 작성 시점 현재 13번째로 크다. 지캐시는 26위다.

서버, 데스크톱, 심지어 브라우저도 크립토재킹에 취약
수많은 컴퓨팅 기기를 보유한 기업들들로서는 최종 사용자 기기, 서버, 브라우저에서의 암호화폐 채굴 페이로드(payload)에 유의할 필요가 있다. 노큰은 “이러한 종류의 맬웨어에는 매우 간단한 행동 패턴이 있다”라며 “계층화된 맬웨어 분석 플랫폼을 보유한 조직이라면 이를 마주쳤을 때 쉽게 차단 가능할 것이다”라고 말했다.

룩킹글래스 사이버 솔루션(LookingGlass Cyber Solutions)의 위협 연구 선임 책임자 조나단 토멕은 흔히 알려져 있는 크립토재킹 도메인에 대한 트래픽이나 CPU 사용량이 갑자기 늘어나지 않는지 살필 것을 기업들에게 권고했다.

그는 이어 브라우저 기반 크립토재킹 공격의 경우 자바스크립트를 끄는 것이 한 방법이라고 설명했다. “그러나 이 방식은 항상 사용할 수 없는 곳이 많다. 왜냐하면 자바스크립트를 근간으로 하는 웹 페이지나 내부 응용프로그램이 너무 많기 때문”이라고 그는 덧붙였다.

한편 크립토재킹 맬웨어로 서버를 감염시키는 것은 브라우저를 장악하는 것만큼 쉽지는 않다고 토멕은 말했다. 그는 “하지만 만약 발생한다면 매우 유용한 초기 경보가 될 것”이라고 덧붙였다.

추적이 어려운 암호화폐 만들기
비트코인은 공용 장부를 기반으로 하기 때문에 거래 내용이 전부 누구에게나 공개된다. 단 특정 비트코인 지갑의 소유자를 확인하려면 여전히 어느 정도 발품이 든다. 범죄자들은 이에 더해 자신의 신원을 숨기기 위한 다른 방안들도 갖고 있다.

예를 들면 랜섬웨어 작성자들은 각 희생자마다 별도의 지갑을 만들어서 보안 분석가의 추적을 더욱 어렵게 만들 수 있다. 아니면 ‘믹서’(mixer) 서비스를 사용해 자금 이동을 위장할 수도 있다.

그러나, 비트코인 생태계에 대한 규제 당국의 감시가 더욱 강화되고 있다. 즉 범죄자들이 불법적으로 취득한 금전적 이익은 현금화가 점점 더 어려워지고 있다고 전문가들은 평가했다.

NTT 시큐리티(NTT Security)의 위협 지능용 제품 관리 책임자 크리스 카메조는 “정부 기관들이 블록체인(blockchain)을 통해 비트코인을 추적하다가 비트코인이 또 다른 ‘실물’ 화폐로 교환되면 거래소에 고객의 신원을 밝힐 것을 요구하곤 한다”라고 설명했다.

비트코인의 출처나 특정 공공 사이버범죄 연루 여부가 역추적될 수도 있다. “범죄 거래에 사용된 비트코인은 오염 가능성이 있으며 주소를 블랙리스트에 올릴 수 있다”라고 주니퍼 네트웍스(Juniper Networks)의 사이버 보안 전략가 닉 빌로고르스키는 설명했다.

실제로 지난주 유럽 형사 경찰 기구 유로폴(Europol)이 개최한 워크숍에 32개국 수사 담당자들이 모여 디지털 화폐 믹서에 대비한 조치를 취하기로 합의했다. 또한, 거래소 및 지갑 제공업체를 반 자금세탁 및 반 테러리즘 법률 하에 규제하기로 결정했다.

X