인텔리전스 기반 보안업체 파이어아이(FireEye)가 최근 ‘크립토재킹(cryptojacking)’ 현황을 조사한 리포트를 공개했다.
이번 리포트는 유명 악성코드 제품군에 크립토재킹 모듈이 추가된 현황부터 드라이브 바이 크립토마이닝(drive-by cryptomining) 공격의 증가, 크립토재킹 코드를 포함한 모바일 앱 사용, 중요 인프라를 위협하는 크립토재킹 및 배포 매커니즘 등 다양한 추세를 담았다.
보고서에 따르면 사이버 범죄자는 일정 수준의 익명성이 보장되고 쉽게 수익을 낼 수 있다는 점에서 암호화폐를 범죄 수단으로 애용하고 있다. 최근 몇 년 사이 암호화폐에 대한 이들의 관심은 단순히 불법적인 툴과 서비스를 지불하기 위한 방법의 범주를 넘어 더욱 커지는 추세다.
다수의 사이버 공격자는 암호화폐의 인기와 그에 따라 상승한 가격을 이용해 다양한 공격을 시도하고 있다. 주요 공격으로는 크립토재킹이라 불리는 악성 암호화폐 채굴, 암호화폐 지갑 관련 크리덴셜 수집, 강탈 활동 및 암호화폐 거래를 대상으로 하는 공격들이 있다.
‘암호화폐 채굴’의 정의
블록체인에서 결제할 경우 해당 결제 건은 네트워크를 통해 유효성 검사가 이뤄지고 전파돼야 한다. 블록체인 네트워크인 ‘노드’(node)에 연결된 컴퓨터가 네트워크에서 결제에 대한 유효성 검사와 전파를 하는 과정에서 채굴자는 해당 결제를 ‘블록’에 저장해 체인에 걸리도록 한다.
각 블록은 해시(hash) 암호화되며 이전 블록의 해시를 포함해 블록체인의 ‘체인’을 형성한다. 채굴자가 각 유효 블록의 복잡한 해시를 해독하기 위해서는 기기의 전산 자원을 사용해야 하며, 채굴되는 블록이 많아질수록 해시 해독 과정에 필요한 자원도 증가한다.
따라서 채굴 과정을 가속화하기 위해 많은 채굴자는 블록의 해시를 함께 해독하는 컴퓨터 집합 공동체 풀(pool)에 동참한다. 활용하는 전산 자원이 많을수록 풀이 새로운 블록을 채굴할 확률이 증가하고, 새로운 블록이 채굴의 대가로 풀의 참가자들은 코인을 얻게 된다.
‘모네로’ 타깃 편중
파이어아이 아이사이트 인텔리전스(FireEye iSIGHT Intelligence)는 암호화폐 채굴과 관련한 사이버 공격자들의 관심이 지난 2009년부터 높아졌다고 보고 있다. 사이버 공격자 커뮤니티에서 자주 언급되는 키워드로는 채굴자(miner), 크립토나이트(cryptonight), 스트라텀(stratum), XM리그(xmrig), CPU 마이너(cpuminer) 등이 있다.
특정 키워드 검색으로는 전반적인 내용을 알기 어렵지만 암호화폐 채굴 관련 키워드의 빈도수는 지난해부터 급격하게 증가하고 있다. 일부 공격자들은 금전적인 목적을 지닌 다른 유형의 공격 방식보다 암호화폐가 더 쉽다는 인식이 있어 타인의 기기를 도용해 채굴용 좀비PC로 만들어버리는 크립토재킹을 선호하고 있다.
최근 크립토재킹 공격 대다수는 ‘바이트코인’(Bytecoin)으로부터 파생된 ‘크립토노트’(CryptoNote) 프로토콜 기반의 오픈 소스 암호화폐인 ‘모네로’(Monero) 채굴에 편중되고 있다. 모네로는 여느 암호화폐와 달리 링서명(ring signature)이라는 독보적인 기술을 활용하고 있다. 링서명이란 사용자의 공개 키(key)를 섞어 특정 사용자를 식별하지 못하게 해 사용자를 추적 불가하게 만드는 기술을 말한다.
또한 모네로는 고유한 일회용 주소를 다량 생성하는 프로토콜을 사용하고 있다. 일회용 주소는 결제수령인만 연결 가능하며 블록체인 분석을 통한 공개가 불가능해 모네로 결제를 암호로 보호하는 동시에 외부와 연결되지 않게 해 안전을 보장한다. 이러한 개인 정보 보호기능과 CPU마이닝의 수익성으로 모네로는 사이버 공격자들의 주된 표적이 되고 있다.
즉 대표적인 ‘다크코인’으로 꼽히는 모네로는 네트워크 익명화처리를 통해 거래 기록을 추적하기 어려운데다 송금처를 알 수 없는 등 자금세탁이나 탈세에 악용될 여지가 크다는 지적이다. 주요 다크코인에는 모네로를 위시로 대시, 제트캐시 등이 손꼽힌다. 미국에서는 모네로가 북한의 자금 마련에 활용되고 있다는 의혹이 제기된 바 있다. 올 초 미국의 보안업체 에어리언볼트는 모네로를 채굴한 뒤 김일성대학 서버로 보내는 악성코드를 발견했다고 밝혔다.
파이어아이는 사이버 범죄자가 이윤을 극대화하고자 △기존 봇넷과 크립토재킹 모듈의 통합 △드라이브 바이 크립토재킹 공격 △크립토재킹 코드를 포함하는 모바일 앱 사용 △스팸 또는 자전(self-propagating) 도구를 통한 크립토재킹 유틸리티 배포 등 다양한 기술을 사용해 채굴기를 널리 분산시키고 있다고 설명했다. 이러한 크립토재킹에 흔히 사용되는 장치로는 사용자 엔드포인트 머신, 기업 서버, 웹사이트, 모바일 기기, 산업 통제 시스템이 있다.
암호화폐 악성코드 영향 1위 미국, 4위 한국
파이어아이는 올 초부터 암호화폐 채굴 악성코드 발견이 증가했고 가장 흔한 채굴 풀은 마이너게이트(minergate) 및 나노풀(nanopool)이었다. 가장 많은 영향을 받은 나라는 미국이며 한국은 4위로 나타났다.
또한 교육분야가 가장 많이 영향을 받는 분야였다. 이는 허술한 대학 네트워크의 보안통제와 무료 전기 사용을 통해 암호화폐를 채굴하는 학생들 때문이라는 분석이다. 교육 분야는 53.89%의 비율로 절반 이상을 차지했고 이어 전력·유틸리티(16.02%), 통신(13.26%), 제조(8.97%), 소프트웨어개발(7.87%) 순이었다.
보고서는 “사이버 공격자 커뮤니티와 시장은 크립토재킹에 상당한 관심을 보이고 있으며 이러한 관심 증가는 암호화폐 채굴 공격 시도의 지속적인 상승으로 나타나고 있다”며 “특히 암호화폐 채굴은 다른 형태의 사기나 절도에 비해 법망을 피할 수 있다는 인식 때문에 더 선호되는 것으로 보인다”고 설명했다.
그러면서 “모네로는 특유의 개인 정보 중심 기능과 CPU 채굴 수익성 때문에 사이버 범죄자에게 가장 매력적인 암호화폐 중 하나가 됐다”며 “모네로 블록체인이 개인 정보 중심의 기준을 유지하고 주문형 반도체에 대해 저항력이 있는 한(ASIC-resistant) 계속해서 사이버 공격자가 가장 선호하는 옵션으로 남을 것”이라고 예측했다.
이어 “미래에 모네로 프로토콜의 보안 및 개인정보 중심의 기능이 저하될 경우 사이버 공격자는 다른 개인 정보 중심의 기능이 탑재된 코인으로 이동할 것”이라며 “모네로 암호화폐와 전자 지갑의 익명성, 수많은 암호화폐 교환 및 텀블러(tumbler) 때문에 정부 당국이 악성 암호화폐 채굴의 출처를 밝히기가 매우 어려운 상황”이라고 밝혔다.
아울러 “악성 공격자는 일반적으로 신원이 밝혀지지 않는다”며 “암호화폐 채굴이 수익성이 있고 상대적으로 리스크가 낮다는 인식을 계속 가지고 있는 한 공격 빈도는 줄어들지 않을 것”이라고 덧붙였다.
