사용자 몰래 채굴 악성코드 설치하는 ‘크립토재킹’ 주의보
웹사이트에 몰래 채굴기를 심어 암호화폐를 채굴하는 ‘크립토재킹’ 공격이 급증하고 있다. 암호화폐의 가치가 천문학적으로 상승하자 사이버 범죄자들이 새로운 수익원으로 암호화폐 채굴활동에 나선 것이다.
사이버 범죄자는 개인 사용자나 기업의 컴퓨터와 클라우드에 암호화폐 채굴 악성코드를 설치하고 전력과 중앙처리장치(CPU)나 그래픽처리장치(GPU) 컴퓨터 리소스를 가로채 암호화폐 채굴에 이용한다. 이런 활동을 암호화폐(cryptocurrency)와 하이재킹(hijacking)을 합한 크립토재킹(cryptojacking)이라고 부른다.
지난 3일 글로벌 보안업체 시만텍이 발표한 보고서에 따르면 이런 크립토재킹 탐지 건수가 지난해 1월 약 2만건에서 12월 약 170만건으로 무려 8500% 정도 증가했다.
컴퓨터 느려지고 배터리 빨리 소모
사이버 범죄자들이 크립토재킹에 사용하는 대표적인 수법은 웹사이트에 채굴을 명령하는 스크립트를 넣는 것이다. 주요 웹사이트를 공격해 HTML 코드 안에 한 줄짜리 스크립트를 추가하면 이용자가 해당 웹사이트를 방문할 때마다 채굴기가 돌아가면서 채굴활동에 사용자 컴퓨터를 사용할 수 있다. 웹사이트를 방문하면 스크립트에 따라 채굴활동이 자동으로 시작되고 웹사이트를 떠나면 중단되는 방식이다.
공격을 당한 이들은 자신들이 채굴활동에 기여하는지 모른다. 다만 채굴활동이 이뤄지는 동안 컴퓨터가 느려지거나 배터리가 빨리 소모된다는 느낌만 받을 뿐이다. 실제 시만텍이 보여준 시연에서 웹사이트에 심어진 채굴기가 작동하니 CPU 이용률이 순식간에 100%로 치솟았다. 채굴기가 돌아가는 동안 엑셀을 실행시키니 그렇지 않았을 경우보다 5~10배 정도 앱 시작시간이 느려졌다.
윤광택 시만텍코리아 최고기술책임자(CTO)는 “단 한 줄의 코드 삽입만으로도 운용할 수 있어 진입장벽이 낮다”며 “사용자 모르게 시스템에 설치된 암호화폐 채굴 악성코드는 기기를 느려지게 하고 배터리 과열을 일으키며, 경우에 따라 사용이 불가능한 상태로 만들기도 한다”고 말했다. 암호화폐 채굴 악성코드로 기업의 네트워크가 중단될 수 있고, 클라우드를 이용할 경우 클라우드 CPU 사용량을 상승시켜 요금폭탄을 맞을 수도 있다.
웹브라우저에 기반한 암호화폐 채굴은 별도의 악성파일을 설치할 필요가 없다. 이용자가 항상 최신의 상태로 운영체제나 백신 프로그램을 업데이트 해도 막을 수 없다. 암호화폐 시대를 맞아 사이버 범죄자들의 수법도 그에 맞춰 진화한 것이다. 크립토재킹은 엑셀과 같은 오피스 문서나 브라우저 확장 프로그램, 위젯에서도 작동한다. 시만텍은 애플의 맥 OS를 겨냥한 암호화폐 채굴 공격 또한 80% 증가해 맥 컴퓨터도 더 이상 안전지대가 아니라고 전했다.
사이버 범죄자들은 암호화폐도 비트코인보다는 거래내역 추적이 불가능한 모네로를 선호한다. 비트코인의 경우 암호화폐의 소유자를 알 수는 없지만 어느 정도 거래가 이뤄지는지는 알 수 있다. 반면 모네로는 거래내역 역시 거래자 당사자들끼리만 알 수 있다. 거래내역을 추적할 수 없다는 점을 이용해 지난해 랜섬웨어 사태 당시 범죄자들은 모네로를 몸값으로 요구하기도 했다. 모네로 가격은 지난해 1월 12달러에서 같은 해 12월 321달러로 급등했다.
컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 받고 암호를 알려주는 악성 소프트웨어인 ‘랜섬웨어’를 이용한 공격은 2016년 호황을 누리다 ‘조정국면’에 들어섰다. 평균 금전 요구액은 지난해 522달러로, 2016년 1070달러의 절반 이하로 낮아졌다. 암호화폐의 가치가 높아지자 사이버 범죄자들이 암호화폐 채굴로 눈을 돌린 때문으로 분석된다.
정보 노린 표적공격 증가추세
소프트웨어 공급망을 해킹한 뒤 자동 업데이트를 악용해 악성코드를 유포하는 사이버 공격은 지난해 12건으로 전년 4건 대비 200% 증가했다. 범죄자는 공인된 소프트웨어의 업데이트 서버를 가로채 업데이트를 실행하는 사용자의 시스템과 네트워크를 2차 공격한다. 범죄자들이 보안이 뛰어난 기업을 공격하기 위해 상대적으로 보안이 허술한 관계사들을 먼저 공격하면서 택하는 방법이다. 이런 공급망 공격의 가장 대표적인 사례가 지난해 발생한 페트야/낫페트야(Petya/NotPetya) 악성코드다. 페트야는 우크라이나 회계 소프트웨어를 진입경로로 이용해 다양한 방법으로 기업 네트워크 전반에 악성코드를 확산·유포했다.
돈 대신 기밀정보를 얻기 위해 표적 국가나 기업을 공격하는 사이버 범죄조직도 2016년 121개에서 2017년 140개로 늘었다. 표적공격의 71%는 e메일을 이용한 스피어 피싱(spear phishing) 공격을 감행했다. 한국의 경우 지난해 발생한 표적공격이 총 45건으로 미국, 인도, 일본, 대만, 우크라이나에 이어 전세계 6위를 기록했다. 중국은 순위에 포함되지 않았다. 표적공격의 90%가 지적재산권이나 국방정보 등 정보 수집을 목적으로 하고 있다. 윤광택 CTO는 “이상하게 표적공격 그룹은 소멸하지 않고 계속 유지된다”며 “이 정도로 조직화·정교화되려면 누군가의 금전적 지원이 없다면 어렵다”고 설명했다.
전문가들은 사이버 공격에 대응하기 위해 항상 최신의 상태로 시스템과 소프트웨어를 유지하는 것이 중요하다고 강조했다. 비록 크립토재킹이라는 변종이 출현하기는 했지만 브라우저 등의 업데이트에는 공격자가 악용할 수 있는 보안 취약점에 대한 패치를 포함하는 경우가 많다. 기기나 서비스의 초기 설정된 비밀번호를 바꾸고 흔하거나 예상하기 쉬운 비밀번호는 사용하지 않아야 한다. 이메일은 가장 큰 감염경로이기 때문에 링크나 첨부파일을 포함한 의심스러운 이메일은 삭제하는 것이 좋다. 파일을 암호화해 피해자가 접근할 수 없게 만드는 랜섬웨어 공격에 대비해 파일을 자주 백업하는 것도 중요하다. 사본이 있다면 감염을 치료하고 파일을 복구할 수 있기 때문이다.
<주영재 경향신문 산업부 기자 jyj@kyunghyang.com>