[210308] 크립토재킹

1. 기술 배경과 정의

 지난 2월 일론 머스크의 비트코인 언급과 그가 CEO 로 있는 테슬라의 비트코인 구매로 인해 암호화폐는 제 2의 전성기를 맞았다. 암호화폐는 컴퓨터의 연산 능력을 사용하는 채굴이라는 과정을 통해 생성된다. 암호화폐 가격이 상승하니 그를 노리는 사이버 범죄 역시 주목받고 있다.

 오늘 소개할 기술은 악성코드를 이용한 암호화폐를 채굴하는 범죄, 크립토재킹이다. 크립토재킹(Cryptojacking)은 암호화폐(Cryptocurrency)와 납치(Hijacking)의 합성어로, 사용자의 기기를 몰래 암호화폐 채굴에 이용하는 공격이다. 관련 범죄가 국내에서는 2017 년에는 3 건이었지만 2018 년에는 1,188 건이 탐지된 바 있다. 최근에는 많이 줄어들었다고 하지만 지난달 미국 에너지부서 과학자들이 크립토재킹 탐지 알고리즘에 관련된 기술 상용화를 위해 민간에 도움을 요청했다고 한다. 크립토재킹은 채굴 시 특수 하드웨어를 필요로 하는 비트코인보다 컴퓨팅 파워만 있으면 채굴이 가능한 모네로 같은 암호화폐에 주로 사용된다.

 

2.기술 작동 방식

- 악성코드형

 초기에 주로 사용됐던 방법.

이메일이나 링크를 통해 문서를 공유 → 피해자가 문서를 다운로드 → 문서가 컴퓨터에 보이지 않는 폴더로 저장 → 저장된 폴더 속 채굴 악성코드가 백그라운드에서 자동 실행 → 채굴된 암호화폐가 공격자의 전자 지갑으로 전송

- 스크립트형

 현재 더 많이 사용되는 방법.

공격자가 웹 브라우저와 광고에 자바 스크립트로 악성코드를 삽입 → 피해자가 브라우저를 이용 → 악성코드 자동 실행 → 채굴된 암호화폐를 공격자의 전자 지갑으로 전송

 

3.피해와 문제점

 크립토재킹은 피해자 기기 CPU 의 연산처리능력과 전기 에너지를 사용한다. 이는 사용자 기기에 발열과 과부하, 눈에 띄는 전기 요금 상승으로 나타난다. 크립토재킹을 감지하는 방법이 PC 성능 저하와 전기 요금 변화밖에 없어서 감염 사실을 알아차리기가 더욱 어렵다. 타깃이 기업의 PC 나 서버 또는 클라우드가 된다면 문제는 더욱 심각해진다. 감염 PC 는 일반 PC 와 비교해 최대 30 배까지 전력 소비량이 증가할 수 있다. 전기료와 서버 과부하로 인한 경제적 피해는 물론이고 문제 추적과 시스템 교체를 위해 많은 시간과 비용이 발생하게 되는 것이다.

 

4.실제 피해사례

-2018.02, 해커들에 의해 AWS 와 테슬라의 컴퓨터 처리능력이 암호화폐 채굴에 이용되었다.

-2018.11, 공격자 4 명이 온라인 구인구직 사이트를 통해 이메일 32,455 개를 수집한 뒤 이력서로 위장한 메일을 전송하여 악성코드를 배포하였다. PC 6,038 대를 감염시킨 뒤 암호화폐 채굴에 이용하였다. 크립토재킹 국내 첫 적발 사례이다.

-2019.05, 한국 과학기술정보통신부 산하기관인 한국지질자원연수원 서버에 용역업체 직원에 의해 채굴 프로그램 설치되어 암호화폐 채굴에 이용됐다. 같은 직원에 의해 기초과학연구원, 카이스트에서도 불법적 암호 채굴이 이루어졌다. 1 년 가까이 지속됐었던 것으로 밝혀졌다.

-2020.05, 영국과 독일, 스위스의 슈퍼컴퓨터가 암호화폐 마이닝 멀웨어에 감염된 사실이 보고됐다.

 

5.예방 및 대처법

크립토재킹에 의한 PC 기능 저하를 막기 위해서는 무엇보다 예방이 가장 중요하다. 크립토재킹 감지 및 차단 기능이 있는 확장 프로그램을 사용하여 스크립트형 크립토재킹을 방지할 수 있다. 불법 사이트를 이용하지 않는 것 또한 도움이 된다. 스크립트형 크립토재킹은 크롬 확장 프로그램을 통해서도 발생할 수 있기 때문에 다운로드할 때 주의해야 한다. 악성코드형 범죄를 예방하기 위해서는 검증된 문서만 저장하고 불법 소프트웨어를 다운로드하지 않아야 한다. 그리고 주기적으로 백신 검사를 하는 것도 도움이 된다.

만약 내 PC 가 크립토재킹에 감염되었다면 어떻게 해야 할까? 먼저 스크립트형 크립토재킹이라면 감염 웹사이트를 종료하면 된다. 하지만 크롬 확장 프로그램에 의한 크립토재킹일 경우 확장 프로그램을 삭제해야 한다. 악성코드형 또한 감염 파일을 찾아 삭제를 하면 된다. 하지만 숨어있는 파일을 찾기 힘들기 때문에 전문가의 도움을 받아야 한다.

 

6.용어 정리

-마이닝(mining): 채굴. 암호화폐를 생산하는 활동을 말한다.

-마이닝 풀(mining pool): 여러 채굴기를 연결하여 한 대처럼 작동하도록 만든 네트워크이다.

-멀웨어(malware): 사용자의 기기를 감염시키도록 설계된 악성 소프트웨어를 총칭하는 말이다.

 

7. 느낀점

국내에서는 크립토재킹에 대한 기사나 언급이 많이 없지만 해외에서는 꾸준히 언급되어 왔다. 크립토재킹의 전망에 대해서는 전문가들 사이에서도 의견이 분분하다. 2018년에 범죄 빈도수가 최고치를 찍었다는 점에서 하락세로 보는 시선이 있다. 하지만 2019년 초까지 하락세였지만 그 이후 2020년 8월까지 상승했다는 점(해당 자료는 2020년 10월 1일에 작성되었다.)에서 아직 지켜봐야 할 기술임은 확실하다.

 사실 크립토재킹은 기존 랜섬웨어와 같은 해킹에 의한 대가보다 피해자가 받게 되는 타격은 적은 편이다. 하지만 크립토재킹이 없어져야 하는 이유는 불법적인 암호 화폐 채굴이라는 점이다. 앞서 언급했듯이 이 기술은 모네로라는 암호 화폐 채굴에 주로 사용된다. 해커들이 모네로를 채굴하는 이유는 컴퓨터 CPU 만으로도 채굴할 수 있다는 점 외에 한 가지가 더 있다. 바로 모네로 같은 다크 코인은 거래 추적이 어렵고 익명성이 보장된다는 것이다. 그래서 다크 코인은 범죄 자금 은닉처로 많이 사용된다. 독자들이 알 만한 모네로 관련 범죄로는 N 번방 사건이 있었다. 다크코인을 통한 범죄가 성행할수록 화폐의 가치는 오를 것이고 이는 범죄를 저지른 사람의 배만 불리는 꼴이 될 것이다. 이런 점에서 나는 크립토재킹이 꼭 사라져야 한다고 생각한다. 그를 위해서는 많은 사람이 이 기술을 인지해 예방하고 대처해야 할 것이다.

 개인 사용자의 입장에서 봤을 때에도 주의해야 하는 범죄이지만 보안 전문가의 입장에서도 주의해야 할 범죄이다. 실제 피해 사례 중 2018년 2월에 발생한 테슬라 크립토재킹 사건을 되짚어 보겠다. 해당 사건은 마이닝 풀을 사용하는 다른 사건들과 달리 마이닝 풀을 사용하지 않았다. 이는 표준 IP/도메인을 기반으로 하는 보안 프로그램에 의해 탐지가 되지 않기 위해서였다. 기본 원리는 단순하지만 한 가지만 바꿔 적용해도 감지하기 어려운 기술이 되는 것이다. 이 사건을 접한 후 보안 전문가가 되기 위해서는 다양한 기술을 공부하는 것이 필수인 것을 다시 한번 깨달았다. 또 학부 공부 이외의 개인 공부를 더 열심히 해야겠다는 다짐을 하게 만들었다.

 

8. 출처

[자료 출처] What is cryptojacking? How to prevent, detect, and recover from it, CSO, 2020.07.07, https://www.csoonline.com/article/3253572/what-is-cryptojacking-how-to-prevent-detect-and-recoverfrom-it.html?page=2

당신의PC가가상화폐채굴에혹사당하고있다,주간조선,2018.08.13, http://weekly.chosun.com/client/news/viw.asp?ctcd=C08&nNewsNumb=002520100011

가상화폐채굴악성코드는무엇?, The Science Times, 2018.01.09, https://www.sciencetimes.co.kr/news/%EA%B0%80%EC%83%81%ED%99%94%ED%8F%90-%EC%B1%84%EA%B5%B4-%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%EB%8A%94-%EB%AC%B4%EC%97%87

US Energy Department Floats Solution to Illicit Crypto Mining Maleare, coindesk, 2021.02.26, https://www.coindesk.com/cryptojacking-detection-department-ofenergy?utm_source=Sailthru&utm_medium=email&utm_campaign=BITES%20FEB%2026%202021&utm_term=Blockchain%20Bites (“미국 에너지부서과학자들이~”부분출처)

Cryptojacking: The Unseen Threat, DARK Reading, 2020.1.20, https://www.darkreading.com/vulnerabilities---threats/cryptojacking-the-unseen-threat  (“하지만 2019 년 초까지 하락세였지만 그 이후 2020 년 8 월까지 상승했다는 점~” 부분 출처)

 

[피해사례출처]

테슬라,아마존웹서비스(AWS) 통한해킹피해…암호화폐채굴에이용,TOKENPAST, 2018.02.22, https://www.tokenpost.kr/article-1580

PC 6천대감염시켜가상화폐채굴동원,,, ‘크립토재킹’첫적발,연합뉴스,2018.11.08, https://www.yna.co.kr/view/AKR20181108076400004

[보.알.남]재주는곰이,돈은사람이.. 크립토재킹,보안뉴스,2019.06.28, https://www.boannews.com/media/view.asp?idx=80965

크립토재커,유럽슈퍼컴퓨터해킹해모네로채굴,BLOCK MEDIA, 2020.05.17, https://www.blockmedia.co.kr/archives/139587