암호화폐, 사이버 공격의 판도를 바꾸다 파이어아이, 암호화폐 채굴자 성장 분석 리포트 공개

해당 자료는 본문의 축약된 번역본으로, 보다 자세한 관련 사항은 공식 영문 블로그에서 확인할 수 있습니다.

인텔리전스 기반 보안업체 파이어아이(FireEye: https://www.fireeye.kr)는 ‘크립토재킹(cryptojacking)’ 현황을 조사한 리포트를 공개했다. 이번 리포트는 유명 악성코드 제품군에 크립토재킹 모듈이 추가된 현황, 드라이브 바이 크립토마이닝(drive-by cryptomining) 공격의 증가, 크립토재킹 코드를 포함한 모바일 앱 사용, 중요 인프라를 위협하는 크립토재킹 및 배포 매커니즘 등 다양한 추세를 소개한다.

사이버 범죄자는 일정 수준의 익명성이 보장되고, 쉽게 수익을 낼 수 있다는 점에서 암호화폐를 범죄 수단으로 애용한다. 최근 몇 년 사이, 암호화폐에 대한 이들의 관심은 단순히 불법적인 툴과 서비스를 지불하기 위한 방법의 범주를 넘어 더 커져가고 있다. 다수의 사이버 공격자는 커져가는 암호화폐의 인기와, 그에 따라 상승한 가격을 이용해 다양한 공격을 시도하고 있다. 주요 공격으로는 ‘크립토재킹’이라 불리는 악성 암호화폐 채굴, 암호화폐 지갑 관련 크리덴셜 수집, 강탈 활동 및 암호화폐 거래를 대상으로 하는 공격들이 있다.

‘암호화폐 채굴’의 정의
블록체인에서 결제할 경우, 해당 결제 건은 네트워크를 통해 유효성 검사가 이루어지고 전파되어야 한다. 블록체인 네트워크인 ‘노드(node)’에 연결된 컴퓨터가 네트워크에서 결제에 대한 유효성 검사와 전파를 하는 과정에서 채굴자는 해당 결제를 ‘블록’에 저장해 체인에 걸리도록 한다.

각 블록은 해시(hash) 암호화되며, 이전 블록의 해시를 포함해 블록체인의 ‘체인’을 형성한다. 채굴자가 각 유효 블록의 복잡한 해시를 해독하기 위해서는 기기의 전산 자원을 사용해야 하며, 채굴되는 블록이 많아질수록 해시 해독 과정에 필요한 자원도 증가한다. 따라서 채굴 과정을 가속화하기 위해 많은 채굴자는 블록의 해시를 함께 해독하는 컴퓨터 집합 공동체 풀(pool)에 동참한다. 활용하는 전산 자원이 많을수록 풀이 새로운 블록을 채굴할 확률 또한 증가하고, 새로운 블록이 채굴의 대가로 풀의 참가자들은 코인을 얻는다.

사이버 공격자 커뮤니티의 관심분야
파이어아이 아이사이트 인텔리전스(FireEye iSIGHT Intelligence)는 암호화폐 채굴 관련 주제에 대한 사이버 공격자들의 관심이 사이버 공격자 커뮤니티 내에서 적어도 2009년까지 거슬러 올라간다고 확인했다. 또한, 커뮤니티 내에서 자주 언급되며 공격자가 상당히 관심을 보인 키워드로는 채굴자(miner), 크립토나이트(cryptonight), 스트라텀(stratum), XM리그(xmrig) 및 CPU 마이너(cpuminer)가 있다.

특정 키워드 검색으로는 전반적인 내용을 알기 어려우나, 암호화폐 채굴 관련 키워드의 빈도수가 2017년부터 급격하게 증가하는 것(사진자료1)을 확인할 수 있다. 적어도 일부 공격자들은 다른 유형의 금전적인 목적을 지닌 공격방식보다, 법의 간섭을 덜 받는다는 인식 때문에 크립토재킹을 선호할 가능성이 높다.



사진자료1 사이버 공격자 커뮤니티 내 언급된 키워드 빈도 수

모네로(Monero)의 위엄
최근 크립토재킹 공격 대다수는 ‘바이트코인(Bytecoin)’으로부터 파생된 ‘크립토노트(CryptoNote) 프로토콜 기반의 오픈 소스 암호화폐인 ‘모네로(Monero)’ 채굴에 편중되고 있다. 여느 암호화폐와 달리 모네로는 링서명(ring signature)이라는 독보적인 기술을 활용한다. 링서명이란 사용자의 공개 키(key)를 섞어 특정 사용자를 식별하지 못하게 하여 사용자를 추적 불가하게 만드는 기술이다.

또한 모네로는 고유한 일회용 주소를 다량 생성하는 프로토콜을 사용한다. 이 일회용 주소는 결제수령인만 연결 가능하고, 블록체인 분석을 통한 공개가 불가능해 모네로 결제를 암호로 보호하는 동시 외부와 연결되지 않도록 하여 안전을 보장한다. 이러한 개인 정보 보호 기능과 CPU마이닝의 수익성으로 인해 모네로는 사이버 공격자 사이에서 매력적인 선택지가 되었다.

사이버 범죄자의 암호화폐 채굴기 분산 기술
사이버 범죄자는 이윤을 극대화하기 위해 ▲기존 봇넷과 크립토재킹 모듈의 통합 ▲드라이브 바이 크립토재킹(Drive-by Cryptojacking) 공격 ▲크립토재킹 코드를 포함하는 모바일 앱 사용 ▲스팸 또는 자전(self-propagating) 도구를 통한 크립토재킹 유틸리티 배포 등, 다양한 기술을 사용하여 채굴기를 널리 분산시킨다. 이러한 크립토재킹에 흔히 사용되는 장치로는 사용자 엔드포인트 머신, 기업 서버, 웹사이트, 모바일 기기, 산업 통제 시스템이 있다.

  • 클라우드에서의 크립토재킹: 민간기업과 정부기관 모두 데이터 및 애플리케이션을 클라우드로 이동함에 따라 사이버 위협 조직 역시 동일한 움직임을 보인다. 최근에는 클라우드 인프라를 대상으로 암호화폐 채굴을 하는 사이버 공격자에 대한 각종 보고도 확인할 수 있다. 클라우드 인프라는 높은 CPU 사용량과 전기 요금이 예상되기에 공격자가 눈에 띄지 않고 많은 공격을 가할 수 있으며, 처리 능력이 뛰어난 환경인지라 클라우드 인프라를 크립토재킹 공격대상으로 삼는 공격자가 증가하고 있다. 파이어아이는 공격자들이 앞으로도 기업들이 공동으로 사용하는 전산 리소스를 노리고 기업의 클라우드 네트워크를 노릴 것으로 예상한다.
  • 기존 봇넷에 크립토재킹 통합: 파이어아이 아이사이트 인텔리전스는 드라이덱스(Dridex) 및 트릭봇(Trickbot) 등 여러 유명 봇넷이 기존 운영시스템에 암호화폐 채굴공격까지 통합하는 것을 발견했다.

드라이브 바이 크립토재킹 기술

  • 브라우저 기반(In-Browser): 파이어아이 아이사이트 인텔리전스는 브라우저 기반의 암호화폐 채굴에 대한 다양한 고객 사례를 조사한 결과, 위협을 받은 웹사이트 및 제3자를 통한 광고 플랫폼에서 브라우저 기반의 채굴 스크립트를 발견했다. 이러한 스크립트는 웹 퍼블리셔가 합법적으로 웹사이트에 심은 것으로, 채굴 스크립트는 웹페이지의 소스코드에 직접 삽입될 수 있지만 주로 제3의 웹사이트를 통해 심어진다. 그러나 손상된 웹사이트 경우와 같이, 웹사이트 퍼블리셔의 인증을 받지 않은 코인 채굴 스크립트가 존재할 수 있기에 코인 채굴 코드가 포함된 웹사이트를 식별 및 탐지하는 작업에는 어려움이 따를 수 있다.
  • 악성광고(Malvertising) 및 익스플로잇 킷(Exploit Kit): 악성광고(Malvertisement)는 합법적인 사이트 내 악성 광고를 지칭하며, 흔히 사이트를 방문하는 사용자를 익스프로잇 킷 랜딩 페이지로 리다이렉트한다. 이러한 랜딩페이지는 시스템 내 취약점을 스캔하고 해당 취약점을 악용해, 악성 코드를 시스템에 다운로드하고 실행되도록 설계되어 있다.

모바일 크립토재킹
모바일 기기 대상의 암호화폐 채굴은 기기의 처리 능력이 제한되어 흔히 사용하는 방법은 아니지만, 지속적인 전력 소비로 인해 기기가 손상되고 배터리 수명이 크게 단축되어 여전히 위협적이다. 파이어아이는 공격자들이 인기 앱스토어에 악성 크립토재킹 앱을 호스팅하고 악성광고 캠페인으로 모바일 유저를 식별해 기기를 공격 대상 삼는다는 것을 발견했다.

크립토재킹 스팸 캠페인:
파이어아이 아이사이트 인텔리전스는 스팸 캠페인을 통해 배포되는 여러 암호화폐 채굴기를 발견했다. 이는 악성코드를 무차별적으로 유포하기 위해 흔히 사용되는 방법이다. 파이어아이는 암호화폐 채굴이 수익을 낼 수 있는 한, 공격자는 지속적으로 이 방법으로 크립토재킹 코드를 퍼뜨릴 것으로 예상한다.

크립토재킹 웜(worm):
워너크라이(WannaCry) 공격 이후, 공격자들은 점차 악성코드에 자전기능(self-propagating functionality)을 통합하기 시작했다.

탐지 우회 방법
주목할만한 또 다른 사이버 공격 트렌드는 탐지를 우회하기 위한 프록시(proxy) 사용이다. 채굴 프록시 도입은 개발자 및 30% 이상 가량의 수수료를 피할 수 있는 방법이기에 사이버 공격자에게 매력적인 선택지이다.

암호화폐 채굴 피해자 통계
파이어아이 탐지 기술의 데이터에 따르면, 2018년 초부터 암호화폐 채굴 악성코드 발견이 증가하였고 (사진자료2), 가장 흔한 채굴 풀은 마이너게이트(minergate) 및 나노풀(nanopool)이었다. 가장 많은 영향을 받은 나라는 미국이며, 한국은 4위로 (사진자료3) 밝혀졌다. 또한 교육분야가 가장 많이 영향을 받는 분야(사진자료4)로 나타났는데, 이는 허술한 대학 네트워크의 보안통제와 무료 전기 사용을 통해 암호화폐를 채굴하는 학생들 때문이다.  



사진자료2 월별 암호화폐 채굴기 탐지활동




사진자료3 암호화폐 채굴에 가장 영향 받은 나라 1~10위



사진자료4 암호화폐 채굴로 가장 큰 영향을 받은 상위 5개 산업

사진자료5 국가별 암호화폐 채굴로 가장 큰 영향 받은 산업 분야

 

크립토재킹을 피하기 위한 기술

  1. 암호화되지 않은 스트라텀(stratum) 세션
    채굴자가 풀 마이닝(pool mining)에 참여하기 위해서는 감염된 컴퓨터는 ‘스트라텀(Stratum)’ 프로토콜을 사용하는 기본코드나 자바스크립트 기반 코드를 사용해야 한다. 이에 암호화되지 않은 TCP를 통한 스트라텀을 차단하기 위해, 관련 파라미터(parameter)를 확인할 수 있는 ‘심층적 패킷 검사(deep packet inspection, DPI)’ 엔진을 설정하는 방안이 있다.
  2. 암호화된 스트라텀(stratum) 세션
    HTTPS 대신 스트라텀을 실행하는 자바스크립트 기반 채굴자의 경우, 암호화폐 웹 트래픽(TLS)을 해독하지 않는 DPI 엔진으로는 탐지가 어렵다. 네트워크 상 암호화된 채굴 트래픽을 줄이기 위해서, 조직은 알려진 채굴 풀의 IP 주소와 도메인을 블랙리스트에 추가하는 방법을 쓸 수 있다.
  3. 브라우저 기반 세션
    모든 코인 채굴 스크립트가 웹사이트 퍼블리셔에 의해 승인되지는 않기에 코인 채굴 코드가 삽입된 웹사이트를 식별하고 탐지하는 것은 어렵다. 하지만 지금까지 발견한 가장 흔한 지표 중 일부를 차단하면 고객이 보고한 CPU를 소모하는 채굴 활동의 상당량을 퇴치하는데 효과적일 수 있다. 브라우저 기반 암호화폐 채굴에 대한 일반적인 탐지 전략은 다음과 같다.
  • 코인 채굴 스크립트를 호스팅하는 것으로 알려진 도메인 차단
  • 코인하이브와 같은 유명 채굴 프로젝트 웹사이트 차단
  • 전반적인 스크립트 차단
  • 애드블로커(ad-blocker) 또는 코인 채굴 전용 브라우저 애드온(add-on) 사용
  • 흔히 사용되는 명명 규칙(naming convention) 탐지
  • 유명 채굴 풀로 이어지는 트래픽 경보 및 차단

브라우저 기반의 크립토재킹 활동에 사용되는 자바스크립트는 디스크의 파일에는 접근할 수 없다. 그러나 호스트가 실수로 채굴 스크립트를 호스팅하는 웹사이트로 이동시킨 경우, 캐시(cashe) 및 기타 브라우저 데이터를 삭제하는 것이 바람직하다.

전망
사이버 공격자 커뮤니티와 시장은 크립토재킹에 상당한 관심을 보이고 있다. 이에 따라 파이어아이 보안 연구원은 크랩토재킹 관련한 캠페인들 발견, 보고하고 있다. 크립토재킹에 대한 공격자의 관심 증가는 암호화폐 채굴 공격을 시도의 지속적인 상승 추이를 보여준다. 파이어아이는 이러한 상승 추세가 2018년 내내 지속될 것으로 전망한다. 암호화폐 채굴은 특히 다른 형태의 사기나 절도에 비해 법의 눈을 피할 수 있다는 인식 때문에 더 선호되는 것으로 보인다. 심지어 피해자도 자신의 컴퓨터가 시스템 성능이 저하된 것이 아니라 감염이 되었다는 것을 인지하지 못하는 경우도 있다.

‘모네로’는 특유의 개인 정보 중심의 기능과 CPU 채굴 수익성 때문에 사이버 범죄자에게 가장 매력적인 암호화폐 중 하나가 되었다. 파이어아이는 모네로 블록체인이 개인 정보 중심의 기준을 유지하고, 주문형 반도체에 대해 저항력이 있는 한(ASIC-resistant) 계속해서 사이버 공격자가 가장 선호하는 옵션으로 남을 것으로 예측했다. 파이어아이는 만일 미래에 모네로 프로토콜의 보안 및 개인정보 중심의 기능이 저하될 경우, 사이버 공격자는 다른 개인 정보 중심의 기능이 탑재된 코인으로 이동할 것으로 추측한다.

모네로 암호화폐와 전자 지갑의 익명성, 수많은 암호화폐 교환 및 텀블러(tumbler) 때문에 당국이 악성 암호화폐 채굴의 출처를 밝히기가 매우 어렵다. 게다가 이러한 공격 활동 뒤에 숨은 악성 공격자는 일반적으로 신원이 밝혀지지 않는다. 사이버 공격자들은 암호화폐 채굴이 수익성이 있고, 상대적으로 리스크가 계속 낮은 한 지속적으로 높은 관심을 보일 것이다.

상기 내용은 본문의 축약된 번역본으로, 더 자세한 사항은 파이어아이 공식 영문 블로그에서 확인할 수 있다.