보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
사라지지 않은 위협 크립토재킹
2020.05.06
26,052
01. 개요
2009년 최초의 암호화폐인 비트코인을 시작으로 다양한 암호화폐가 만들어졌으며, 2017년 비트코인의 가치가 급상승하여 암호화폐를 채굴하기 위해 다양한 멀웨어가 등장하였다. 2017년 말 새로운 공격 기법인 『크립토재킹』이 개발되었고, 2020년 최근까지 암호화폐 가치에 따라 크립토재킹 공격 빈도가 증가하고 공격 방법이 변하고 있다.
크립토재킹의 공격방법, 피해사례, 대응방안에 대해 알아보자.
[그림 1] 비트코인 가치와 크립토재킹 공격 빈도 변화(출처 : 2019년 소닉월 사이버위협 보고서)
02. 크립토재킹이란
크립토재킹(Cryptojacking)은 피해자의 PC 및 모바일 기기 감염을 통해 암호화폐를 채굴 하기 위한 공격이다.
가장 알려진 악성코드로는 암호화폐 『모네로』 채굴에 사용된 “32Kilences.exe”이다. 해당 악성코드는 피해자의 CPU 사용을 99%까지 사용하여 시스템 사용을 거의 불가능하게 만들어, 피해자가 단번에 감염사실을 알 수 있다. 최근에는 일부의 프로세싱 파워(처리능력)만 사용하고 인지하기 힘든 시간(예: 업무시간 이후)에 작동되어 장기간 동안 피해자가 인지할 수 없게 하는 악성코드 유형이 많이 작성·사용된다.
03. 크립토 재킹 공격 절차 및 종류
1) 공격 절차
초기의 크립토재킹 공격은 악성링크나 이메일 등 1:1로 사용자에게 악성코드를 전송하는 방식이었다면, 최근 사용되는 크립토재킹은 웹 페이지의 스크립트 기능을 이용하여 악성코드 작성·삽입하고, 임의의 사용자가 해당 페이지 접속하면 사용자 PC가 악성코드에 감염되어 암호화폐 채굴에 이용된다.
웹 페이지를 이용한 암호 화폐 채굴 방식은 다수의 악성코드 감염 PC를 획득하고, 웹 페이지 접속 시에만 암호화폐 채굴을 하는 특징으로 피해자가 잘 인지하지 못해, 최근 많이 사용되어지고 있다.
[그림 2] 크립토재킹 공격 절차의 변화
2) 크립토재킹 종류
[표 1] 크립토재킹 공격 종류(출처 : 해시넷)
04. 피해사례
1) 구인구직사이트
2017년 10월부터 12월까지 구직사이트의 인사담당자의 정보 약 3만개를 수집하여 악성코드가 포함된 메일을 보내 약 6천대의 PC를 감염시켜 암호화폐 채굴에 사용한 범죄가 처음 적발되었다.
감염 PC CPU의 50%를 채굴에 사용하였다. 피해액수는 적었으나 국내에서 최초로 적발된 크립토재킹 범죄로 가장 알려진 범죄이다.
[그림 3] 최초 크립토재킹 범죄 프로세스(출처 : 2018년 경찰청 사이버위협 보고서)
2) 한국지질자원연구원
2019년 5월 과학기술정보통신부 산하기관인 한국지질자원연구소 서버에서도 크립토재킹 공격 시도가 발견되었다. 네트워크 유지보수 직원이 직접 서버 내 악성프로그램을 설치하여 암호화폐 채굴에 사용하였으며 사용량이 적은 퇴근시간 이후에 채굴을 진행하여 약 1년간 들키지 않고 사용하고 있었으나, 업무시간 이후에도 CPU 사용량이 지속적으로 높은 것을 의심하여 자체점검을 진행한 결과 악성 프로그램을 발견하였다. 이후 과학기술정보통신부는 산하기관 전체에 불법프로그램 점검을 실시하였다. 그러나 해당 사건을 계기로 크립토재킹 공격은 지속적으로 이루어지고 있으며 일반 사용자 및 공공기관까지 크립토재킹 공격으로부터 안전하지 않은 것을 확인할 수 있다.
05. 대응방안 및 결론
1) 웹 필터링 도구 사용 및 광고 차단 프로그램 사용
대부분의 크립토재킹 공격이 웹 페이지를 통해 이루어지기 때문에 사용자들은 웹 페이지 사용 중 이상징후 발생 시 즉시 페이지를 종료하고 URL을 확인하여 웹 필터를 업데이트해 스크립트를 차단하여야 한다.
2) 광고 차단프로그램 사용
비교적 보안이 취약한 광고페이지의 경우 공격자가 자주 이용하는 공격 포인트가 되기 때문에 광고 차단 프로그램 설치 시 효과적인 예방이 가능하다. 일부 광고 차단 프로그램의 경우 악성 스크립트를 탐지할 수 있는 기능이 존재하며, 탐지 및 차단까지 가능한 안티마이너, 마이너블록 등 다양한 확장 프로그램이 존재한다.
3) 확장 프로그램 관리
일부 크립토재킹 악성코드의 경우 취약한 브라우저 확장프로그램을 사용하거나 정상적인 확장자를 감염시키는 경우도 존재하기 때문에 설치된 모든 확장 프로그램을 확인하여 최신 업데이트를 진행하고 필요하지 않은 기능은 제거하는 것이 필요하다.
4) 내부자 보안교육
대부분의 악성코드가 피싱 형태로 유포되기 때문에 내부자 보안교육을 통해 예방할 수 있다. 의심스러운 메일, 웹사이트 스푸핑 같은 피싱 기술들을 직원에게 교육하여 크립토재킹 및 다른 공격에 대비하는 것이 중요하다.
비록 암호화폐의 가치가 2018년 이후 계속 하락하고 있지만 암호화폐의 관심은 지속적으로 이어지고 있다. 2017년 발생한 ‘워너크라이’사태 이후 급증한 암호화폐 가치 및 크립토재킹 공격 빈도 증가로 보아 이후 다른 이슈가 발생하면 다시한번 암호화폐의 가치가 증가하며 크립토재킹 공격 또한 많아질 것으로 판단된다.
이번 칼럼을 통해 크립토재킹 공격의 위험성 인지 및 대응방안을 적용하여 효과적인 공격 대응을 기대한다.
06. 참고자료
[1] 위키피디아, https://ko.wikipedia.org/wiki/%EC%95%94%ED%98%B8%ED%99%94%ED%8F%90
[2] 네이버 지식백과, https://terms.naver.com/entry.nhn?docId=5138672&cid=43667&categoryId=43667
[3] 2019년 사이버위협 보고서(소닉월)
[4] KISA, 2018 악성코드 은닉사이트 탐지 동향 보고서(‘18년 상반기)
[5] 해시넷, http://wiki.hash.kr/index.php/%ED%81%AC%EB%A6%BD%ED%86%A0%EC%9E%AC%ED%82%B9
[6] 경찰청, https://www.gov.kr/portal/ntnadmNews/1756782
[7] 조선닷컴, https://biz.chosun.com/site/data/html_dir/2019/05/29/2019052902747.html
[8] http://www.comworld.co.kr/news/articleView.html?idxno=49809