Offcanvas

보안 / 블록체인

파이어아이, 암호화폐 채굴자 성장 분석 리포트 공개

2018.08.16 편집부  |  CIO KR
파이어아이가 ‘크립토재킹(cryptojacking)’ 현황을 조사한 리포트를 공개했다.

이번 리포트는 유명 악성코드 제품군에 크립토재킹 모듈이 추가된 현황, 드라이브 바이 크립토마이닝(drive-by cryptomining) 공격의 증가, 크립토재킹 코드를 포함한 모바일 앱 사용, 중요 인프라를 위협하는 크립토재킹 및 배포 매커니즘 등 다양한 추세를 소개했다.

사이버 범죄자는 일정 수준의 익명성이 보장되고, 쉽게 수익을 낼 수 있다는 점에서 암호화폐를 범죄 수단으로 애용한다. 최근 몇 년 사이, 암호화폐에 대한 이들의 관심은 단순히 불법적인 툴과 서비스를 지불하기 위한 방법의 범주를 넘어 더 커져가고 있다. 다수의 사이버 공격자는 커져가는 암호화폐의 인기와, 그에 따라 상승한 가격을 이용해 다양한 공격을 시도하고 있다. 주요 공격으로는 ‘크립토재킹’이라 불리는 악성 암호화폐 채굴, 암호화폐 지갑 관련 크리덴셜 수집, 강탈 활동 및 암호화폐 거래를 대상으로 하는 공격들이 있다.

블록체인에서 결제할 경우, 해당 결제 건은 네트워크를 통해 유효성 검사가 이뤄지고 전파되어야 한다. 블록체인 네트워크인 ‘노드(node)’에 연결된 컴퓨터가 네트워크에서 결제에 대한 유효성 검사와 전파를 하는 과정에서 채굴자는 해당 결제를 ‘블록’에 저장해 체인에 걸리도록 한다.

각 블록은 해시(hash) 암호화되며, 이전 블록의 해시를 포함해 블록체인의 ‘체인’을 형성한다. 채굴자가 각 유효 블록의 복잡한 해시를 해독하기 위해서는 기기의 전산 자원을 사용해야 하며, 채굴되는 블록이 많아질수록 해시 해독 과정에 필요한 자원도 증가한다. 따라서 채굴 과정을 가속화하기 위해 많은 채굴자는 블록의 해시를 함께 해독하는 컴퓨터 집합 공동체 풀(pool)에 동참한다. 활용하는 전산 자원이 많을수록 풀이 새로운 블록을 채굴할 확률 또한 증가하고, 새로운 블록이 채굴의 대가로 풀의 참가자들은 코인을 얻는다.

파이어아이 아이사이트 인텔리전스(FireEye iSIGHT Intelligence)는 암호화폐 채굴 관련 주제에 대한 사이버 공격자들의 관심이 사이버 공격자 커뮤니티 내에서 적어도 2009년까지 거슬러 올라간다고 확인했다. 또한, 커뮤니티 내에서 자주 언급되며 공격자가 상당히 관심을 보인 키워드로는 채굴자(miner), 크립토나이트(cryptonight), 스트라텀(stratum), XM리그(xmrig) 및 CPU 마이너(cpuminer)가 있다.

특정 키워드 검색으로는 전반적인 내용을 알기 어려우나, 암호화폐 채굴 관련 키워드의 빈도수가 2017년부터 급격하게 증가하는 것을 확인할 수 있다. 적어도 일부 공격자들은 다른 유형의 금전적인 목적을 지닌 공격방식보다, 법의 간섭을 덜 받는다는 인식 때문에 크립토재킹을 선호할 가능성이 높다.



최근 크립토재킹 공격 대다수는 ‘바이트코인(Bytecoin)’으로부터 파생된 ‘크립토노트(CryptoNote) 프로토콜 기반의 오픈 소스 암호화폐인 ‘모네로(Monero)’ 채굴에 편중되고 있다. 여느 암호화폐와 달리 모네로는 링서명(ring signature)이라는 독보적인 기술을 활용한다. 링서명이란 사용자의 공개 키(key)를 섞어 특정 사용자를 식별하지 못하게 하여 사용자를 추적 불가하게 만드는 기술이다.

또한 모네로는 고유한 일회용 주소를 다량 생성하는 프로토콜을 사용한다. 이 일회용 주소는 결제수령인만 연결 가능하고, 블록체인 분석을 통한 공개가 불가능해 모네로 결제를 암호로 보호하는 동시 외부와 연결되지 않도록 해 안전을 보장한다. 이러한 개인 정보 보호 기능과 CPU 마이닝의 수익성으로 인해 모네로는 사이버 공격자 사이에서 매력적인 선택지가 되었다.

사이버 범죄자는 이윤을 극대화하기 위해 ▲기존 봇넷과 크립토재킹 모듈의 통합 ▲드라이브 바이 크립토재킹(Drive-by Cryptojacking) 공격 ▲크립토재킹 코드를 포함하는 모바일 앱 사용 ▲스팸 또는 자전(self-propagating) 도구를 통한 크립토재킹 유틸리티 배포 등, 다양한 기술을 사용해 채굴기를 널리 분산시킨다. 이러한 크립토재킹에 흔히 사용되는 장치로는 사용자 엔드포인트 머신, 기업 서버, 웹사이트, 모바일 기기, 산업 통제 시스템이 있다.

모바일 기기 대상의 암호화폐 채굴은 기기의 처리 능력이 제한돼 흔히 사용하는 방법은 아니지만, 지속적인 전력 소비로 인해 기기가 손상되고 배터리 수명이 크게 단축돼 여전히 위협적이다. 파이어아이는 공격자들이 인기 앱스토어에 악성 크립토재킹 앱을 호스팅하고 악성광고 캠페인으로 모바일 유저를 식별해 기기를 공격 대상 삼는다는 것을 발견했다.

주목할만한 또 다른 사이버 공격 트렌드는 탐지를 우회하기 위한 프록시(proxy) 사용이다. 채굴 프록시 도입은 개발자 및 30% 이상 가량의 수수료를 피할 수 있는 방법이기에 사이버 공격자에게 매력적인 선택지이다.



파이어아이 탐지 기술의 데이터에 따르면, 2018년 초부터 암호화폐 채굴 악성코드 발견이 증가하였고, 가장 흔한 채굴 풀은 마이너게이트(minergate) 및 나노풀(nanopool)이었다. 가장 많은 영향을 받은 나라는 미국이며, 한국은 4위로 밝혀졌다. 또한 교육분야가 가장 많이 영향을 받는 분야로 나타났는데, 이는 허술한 대학 네트워크의 보안통제와 무료 전기 사용을 통해 암호화폐를 채굴하는 학생들 때문이다. 



사이버 공격자 커뮤니티와 시장은 크립토재킹에 상당한 관심을 보이고 있다. 이에 따라 파이어아이 보안 연구원은 크랩토재킹 관련한 캠페인들 발견, 보고하고 있다. 크립토재킹에 대한 공격자의 관심 증가는 암호화폐 채굴 공격을 시도의 지속적인 상승 추이를 보여준다. 파이어아이는 이러한 상승 추세가 2018년 내내 지속될 것으로 전망한다. 암호화폐 채굴은 특히 다른 형태의 사기나 절도에 비해 법의 눈을 피할 수 있다는 인식 때문에 더 선호되는 것으로 보인다. 심지어 피해자도 자신의 컴퓨터가 시스템 성능이 저하된 것이 아니라 감염이 되었다는 것을 인지하지 못하는 경우도 있다.

‘모네로’는 특유의 개인 정보 중심의 기능과 CPU 채굴 수익성 때문에 사이버 범죄자에게 가장 매력적인 암호화폐 중 하나가 되었다. 파이어아이는 모네로 블록체인이 개인 정보 중심의 기준을 유지하고, 주문형 반도체에 대해 저항력이 있는 한(ASIC-resistant) 계속해서 사이버 공격자가 가장 선호하는 옵션으로 남을 것으로 예측했다. 파이어아이는 만일 미래에 모네로 프로토콜의 보안 및 개인정보 중심의 기능이 저하될 경우, 사이버 공격자는 다른 개인 정보 중심의 기능이 탑재된 코인으로 이동할 것으로 추측한다.

모네로 암호화폐와 전자 지갑의 익명성, 수많은 암호화폐 교환 및 텀블러(tumbler) 때문에 당국이 악성 암호화폐 채굴의 출처를 밝히기가 매우 어렵다. 게다가 이러한 공격 활동 뒤에 숨은 악성 공격자는 일반적으로 신원이 밝혀지지 않는다. 사이버 공격자들은 암호화폐 채굴이 수익성이 있고, 상대적으로 리스크가 계속 낮은 한 지속적으로 높은 관심을 보일 것이다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.