범죄자 니즈 맞춤형··· 신종 암호화폐의 생태학

CSO

비트코인(Bitcoin)보다 추적하기 어렵고 개인 정보를 더 잘 숨기는 신종 익명 암호화폐가 사이버 범죄자들 사이에 득세하고 있다. 모네로(Monero)와 지캐시(Zcash) 같은 암호화폐들이다. 그럼에도 불구하고 오늘날 랜섬웨어 몸값 지급에 주로 선택되는 화폐는 여전히 비트코인이다. 대중들이 구하기 더 쉽기 때문이다.

단기적으로 익명 암호화폐가 기업에게 미칠 수 있는 큰 영향 중 하나는 범죄자들이 화폐 채굴을 위해 기업 컴퓨터를 하이재킹(hijacking)하고 있다는 점이다. 크라우드스트라이크(CrowdStrike, Inc)의 서비스 책임자 브라이언 요크는 “이러한 크립토재킹(cryptojacking)과 같은 불법적인 방식으로 버는 돈은 추적될 가능성이 낮아야 한다는 조건이 따른다”라고 설명했다.

게다가, 모네로의 경우 비트코인 채굴에 비해 수행하기 쉽다. 채굴자가 돈을 벌려면 대개 특수 컴퓨팅 장비가 필요하다. 반면, 모네로는 일반 컴퓨터로 채굴 가능한 상황이라고 사이버 보안 업체 제로폭스(ZeroFox)의 CTO 마이크 프라이스는 설명했다. 채굴이 몇몇 대형 채굴 작업에 집중되어 있지 않고 사람들의 개인 컴퓨터에 광범위하게 분산되어 있다는 의미다.



암호화폐 채굴 봇넷으로 전락
당연한 말이지만 크립토재킹 자체가 문제가 된다. 즉, ‘기기 소유자의 직접 동의 없이 개인용 컴퓨팅 기기에서 채굴을 시도하게 유도한다는 점’이다.

예를 들면 모네로는 사용자의 컴퓨터에서 자바스크립트(JavaScript)를 실행함으로써 채굴될 수 있다. “즉 기기를 감염시켜 봇넷(botnet)을 만들거나 브라우저를 악용해 채굴하는 방식이 매우 매력적일 수 있는 것”이라고 맬웨어 방지 업체 라스트라인(Lastline, Inc.)의 위협 지능 책임자 앤디 노튼은 설명했다.

노튼에 따르면 실제로 모네로 채굴 풀(pool)들이 최근 크게 늘었다. 라스트라인은 크립토재킹이 어떤 도메인을 요청하는지 추적한 결과 상위 8개 중 7개가 모네로, 1개만이 비트코인 대상인 것으로 나타났다.

모네로 암호화폐의 가격 역시 상응하는 비율로 상승해 왔다고 노튼은 밝혔다. 1년 전 12달러에 불과했지만 최근 최고 466달러에 달했다가 본 기사 작성 시점 현재 271달러로 하락했다. 모네로의 시가 총액은 1년 전 1억6,300만 달러에서 70억 달러 이상으로 상승했다.

모네로는 상위 20개 암호화폐 목록에 오른 유일한 익명 화폐이다. 본 기사 작성 시점 현재 13번째로 크다. 지캐시는 26위다.

서버, 데스크톱, 심지어 브라우저도 크립토재킹에 취약
수많은 컴퓨팅 기기를 보유한 기업들들로서는 최종 사용자 기기, 서버, 브라우저에서의 암호화폐 채굴 페이로드(payload)에 유의할 필요가 있다. 노큰은 “이러한 종류의 맬웨어에는 매우 간단한 행동 패턴이 있다”라며 “계층화된 맬웨어 분석 플랫폼을 보유한 조직이라면 이를 마주쳤을 때 쉽게 차단 가능할 것이다”라고 말했다.

룩킹글래스 사이버 솔루션(LookingGlass Cyber Solutions)의 위협 연구 선임 책임자 조나단 토멕은 흔히 알려져 있는 크립토재킹 도메인에 대한 트래픽이나 CPU 사용량이 갑자기 늘어나지 않는지 살필 것을 기업들에게 권고했다.

그는 이어 브라우저 기반 크립토재킹 공격의 경우 자바스크립트를 끄는 것이 한 방법이라고 설명했다. “그러나 이 방식은 항상 사용할 수 없는 곳이 많다. 왜냐하면 자바스크립트를 근간으로 하는 웹 페이지나 내부 응용프로그램이 너무 많기 때문”이라고 그는 덧붙였다.

한편 크립토재킹 맬웨어로 서버를 감염시키는 것은 브라우저를 장악하는 것만큼 쉽지는 않다고 토멕은 말했다. 그는 “하지만 만약 발생한다면 매우 유용한 초기 경보가 될 것”이라고 덧붙였다.

추적이 어려운 암호화폐 만들기
비트코인은 공용 장부를 기반으로 하기 때문에 거래 내용이 전부 누구에게나 공개된다. 단 특정 비트코인 지갑의 소유자를 확인하려면 여전히 어느 정도 발품이 든다. 범죄자들은 이에 더해 자신의 신원을 숨기기 위한 다른 방안들도 갖고 있다.

예를 들면 랜섬웨어 작성자들은 각 희생자마다 별도의 지갑을 만들어서 보안 분석가의 추적을 더욱 어렵게 만들 수 있다. 아니면 ‘믹서’(mixer) 서비스를 사용해 자금 이동을 위장할 수도 있다.

그러나, 비트코인 생태계에 대한 규제 당국의 감시가 더욱 강화되고 있다. 즉 범죄자들이 불법적으로 취득한 금전적 이익은 현금화가 점점 더 어려워지고 있다고 전문가들은 평가했다.

NTT 시큐리티(NTT Security)의 위협 지능용 제품 관리 책임자 크리스 카메조는 “정부 기관들이 블록체인(blockchain)을 통해 비트코인을 추적하다가 비트코인이 또 다른 ‘실물’ 화폐로 교환되면 거래소에 고객의 신원을 밝힐 것을 요구하곤 한다”라고 설명했다.

비트코인의 출처나 특정 공공 사이버범죄 연루 여부가 역추적될 수도 있다. “범죄 거래에 사용된 비트코인은 오염 가능성이 있으며 주소를 블랙리스트에 올릴 수 있다”라고 주니퍼 네트웍스(Juniper Networks)의 사이버 보안 전략가 닉 빌로고르스키는 설명했다.

실제로 지난주 유럽 형사 경찰 기구 유로폴(Europol)이 개최한 워크숍에 32개국 수사 담당자들이 모여 디지털 화폐 믹서에 대비한 조치를 취하기로 합의했다. 또한, 거래소 및 지갑 제공업체를 반 자금세탁 및 반 테러리즘 법률 하에 규제하기로 결정했다.


쿠델스키 시큐리티(Kudelski Security) CTO 앤드류 하워드는 “이제 자신의 비트코인 지갑을 관찰당하고 있음을 랜섬웨어 공격자들은 파악하고 있다”라고 말했다.

반면 모네로는 출처와 대상, 각 거래의 금액까지도 위장한다. 지캐시도 비슷하다. 단 지캐시는 모네로의 작업 증명(proof-of-work) 알고리즘 대신 영-지식(zero-knowledge) 알고리즘을 사용해 개인정보를 보호한다.

그러나 더 복잡해졌기 때문에 거래 시간이 더 오래 걸린다. 대형 거래는 여전히 관심을 집중시키기 때문에 범죄자들은 이를 작게 쪼개어 추적하기 어렵게 만들어야 하는 실정이다. 즉 암호화폐 거래는 실행 시간이 더 오래 걸리고 더 많은 컴퓨팅 파워가 필요해진다. 추적 방지 기능을 강화한 암호화폐가 애용되는 온라인 결제 방식이 될 가능성이 낮은 이유다. 

대신 이들 암호화폐들은 범죄자 대 범죄자 상거래, 비트코인 등의 방식을 통해 수금한 자금의 세탁 등에 강세를 보이고 있다. 일례로 워너크라이(WannaCry) 랜섬웨어 공격 배후에 있는 범죄자들은 희생자로부터 비트코인을 챙긴 후 흔적을 감추기 위해 모네로로 변환시켰다고 사이버 보안 업체 플래시포인트(Flashpoint)의 데이빗 쉬어 애널리스트는 설명했다. “한번 도망가면 추적이 불가능해진다”면서 “이제 범죄자들이 익명 암호화폐를 통해 세탁하는 것을 보게 될 것”이라고 덧붙였다.

다크 웹(dark web)에서도 출현하고 있다고 전문가들은 말했다. “모네로는 이미 여러 다크넷 시장에 통합되고 있고 사이버 범죄 행위에 사용된 바 있으며 섀도우 브로커스(Shadow Brokers)가 선호하는 화폐”라고 아카마이 테크놀로지스(Akamai Technologies, Inc.)의 보안 지능 및 대응 팀 엔지니어 벤자민 브라운은 설명했다. 그는 이어 “앞으로 지하 세계에서, 특히 새로운 다크넷 시장에서 더욱 널리 채택될 것으로 예상한다”라고 덧붙였다.

-> 다크웹, 딥웹, 다크 인터넷이란?
-> 사이버 범죄자들의 지하 세계··· 다크웹 시장 7곳 분석

실제로 작년 여름 암시장 실크 로드(Silk Road)의 열 배 규모인 알파베이(AlphaBay) 다크 웹 시장을 당국이 폐쇄하자 모네로는 각종 언론으로부터 크게 주목받았다. 알파베이의 거래에서도 비트코인과 이더리움(Ethereum), 지캐시가 통용됐는데, 검찰에 따르면 약 880만 달러 어치의 비트코인과 이더리움, 지캐시와 “금액 미상의 모네로”를 압수할 수 있었다고 한다.

매서지 커뮤니케이션스(Masergy Communications, Inc.)의 수석 과학자 마이크 스튜트는 “당국이 모네로 거래에 대해 아무 것도 알아내 못하자 모네로가 크게 주목 받았다. 모네로가 잘 작동한다는 것이 입증된 셈이었기 때문이다”라고 전했다.

그러나 익명성은 양날의 검이다. 가상화폐 인프라 자체도 더욱 위험해지기 때문이다. 시놉시스(Synopsys, Inc.)의 보안 전략가 스티븐 지궤르는 “만일 암호화폐 거래소에서 익명 암호화폐를 취급하기 시작한다면 해커들의 표적이 될 수 있다”라며“해커들은 이 암호를 훔치면 익명성을 유지할 수 있다는 것을 알고 있다”라고 말했다.

또한, 이 기술이 아직 새롭기 때문에 특정 단계에서 보안 취약점이 있을 수 있고 아니면 인프라 자체에 발견되지 않은 문제가 있을 수 있다. 콜럼비아 대학교(Columbia University) 컴퓨터 과학 교수이자 얼루어 시큐리티 테크놀로지(Allure Security Technology)의 창업자 겸 CTO 살바토레 스톨포는 “고도의 공격자들에게 엄청난 기회일 수 있다. 개인적으로는 아직은 거래소들이 그러한 화폐를 취급할 가능성이 낮다고 본다”라고 말했다.

범죄자 대 소비자 거래에는 아직 비트코인이 대세
비트코인은 대중에게 인지도가 높고 구매할 수 있는 곳도 더 많다. 따라서 랜섬웨어 작성자들은 대개 희생자들에게 몸값을 비트코인으로 결제해 달라고 요구한다. “지금 당장 모네로를 사용하는 랜섬웨어는 없는 것 같다”고 트러스트웨이브 홀딩스(Trustwave Holdings, Inc.)의 위협 지능 관리자 칼 시글러는 말했다. 규모가 더 큰 합법 암호화폐 거래소들의 대부분은 모네로를 전혀 지원하지 않기 때문이다.

그러나 그 상황이 빠르게 변할 수도 있다. 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 위협 시스템 관리자 존 밤베네크는 “범죄자들이 모네로 거래소에 경화(hard-currency)가 등장하는 것을 기다리고 있다고 본다. 희생자들에게 몸값 요구를 보내면 그들은 온라인에서 신용카드로 몸값 지불에 필요한 암호화폐를 살 수 있게 되는 것이다”라고 말했다. ciokr@idg.co.kr