암호화폐 도둑채굴 공격 1년새 85배 늘어나

임민철 기자2018.04.03

  • 글자 작게
  • 글자 크게
윤광택 시만텍코리아 최고기술책임자(CTO)

시만텍 "작년 1월 2만건서 12월 170만건으로"

컴퓨터 소유자, 관리자 동의 없이 암호화폐 도둑 채굴 동작을 수행하는 '크립토재킹(cryptojacking)' 사례가 급증해, 2017년 한 해 발생 건수가 전년대비 85배에 달했다는 조사 결과가 나왔다.

사이버보안업체 시만텍코리아는 3일 서울 역삼동에서 간담회를 열고 이런 현황을 담은 미국 본사의 '인터넷보안위협보고서(ISTR) 제23호' 주요 내용을 발표했다. 시만텍 ISTR 제23호는 2017년 1월 1일부터 12월 31일까지 한 해 동안 발생한 보안위협 활동을 분석한 결과와 향후 전망을 담고 있다.

윤광택 시만텍코리아 최고기술책임자(CTO)는 ISTR 브리핑을 진행하며, 지난해 보안위협 동향 가운데 크립토재킹이라 물리는 암호화폐 도둑 채굴 활동이 두드러진 증가세를 보였다고 지적했다. 이는 표적공격, 소프트웨어(SW) 공급망을 이용한 악성코드 유포, 모바일 악성코드, 랜섬웨어 비즈니스시장 동향의 추이와 함께 언급된 5가지 핵심주제 가운데 특히 두드러진 대목이었다.

시만텍 ISTR 제23호에 제시된 분석의 근거는 시만텍이 보유한 사이버보안위협정보망과 세계 각지 고객사에 공급한 보안솔루션으로 수집된 데이터다. 시만텍은 '글로벌인텔리전스네트워크'로 157개 지역 및 국가에서 1억7천500만개 엔드포인트 대상 위협활동을 모니터링한다. 20여년간 보안취약점 9만5천800여건을 축적했다.

이메일보안제품은 하루 24억건의 이메일을 처리한다. 클라우드 이메일 및 웹보안툴은 3억3천800만건의 이메일과 18억건의 웹요청을 걸러내고 있다. 보안웹게이트웨이 솔루션은 하루 10억개 이상 URL을 처리 및 분석한다.

■ "모네로 도둑 채굴 인기…패치 소용없는 브라우저 스크립트 비중 커"

도둑채굴은 공격자가 직접 PC와 서버를 구입해 소유하지 않고 다른 시스템의 자원을 도용해 시도하는 채굴을 가리킨다. ISTR에 따르면 암호화폐 도둑채굴 공격은 2017년초대비 연말께 85배 수준으로 폭증했다. 2017년 1월에 2만건이었는데 12월들어 170만건으로 늘어났다는 설명이다. 꾸준한 암호화폐 가격 상승세로 이를 얻으려는 공격자들의 관심도 함께 커진 탓으로 풀이됐다.

도둑채굴은 타인의 시스템에서 악성코드를 구동해 중앙처리장치(CPU)와 그래픽처리장치(GPU)를 도용하고, 그 동작은 시스템 소유자에게 성능저하 및 전력소비와 발열 증가, 클라우드 기반 시스템 사용료 증가 등 피해를 유발한다. 시만텍은 정상 및 채굴 악성코드 감염 PC의 성능차를 대조한 실험을 시연했다. 감염시 성능저하로 인해 마이크로소프트(MS) 엑셀 프로그램 구동 시간이 5~10배 늘어나는 장면이었다.

윤광택 시만텍코리아 최고기술책임자(CTO) 윤광택 시만텍코리아 최고기술책임자(CTO)

공격자들 사이에서 이런 도둑채굴 대상으로 인기가 높은 암호화폐는 비트코인이 아니라 '모네로(Monero)'다. 모네로는 고성능GPU가 없어도 채굴될 수 있고, 외부에서 지갑의 거래내역을 확인할 수 있는 비트코인과 다르게 당사자에게만 거래내역을 보여주기 때문이다. 모네로가 불특정 다수 컴퓨터의 CPU 자원을 훔쳐 채굴한 암호화폐를 몰래 수익화하려는 공격자 입맛에 들어맞아 선호된다는 설명이다.

탐지된 도둑채굴 수단은 크게 2가지였다. 하나는 컴퓨터 실행파일 형태로 동작하는 채굴 악성코드다. 나머지 하나는 컴퓨터에 설치되지 않은 채 브라우저에서 특정 웹사이트 방문시 구동되는, 브라우저 기반 채굴 스크립트다. 후자는 윈도뿐아니라 맥OS와 리눅스, 모바일 및 사물인터넷(IoT) 기기에도 위협이 될 수 있다. 이 유형은 2017년 12월중 800만건이 탐지 및 차단돼 전체 웹기반 공격 24% 비중을 차지했다.

시만텍은 기업보다 개인이 소유한 기기에서 브라우저 기반 채굴 스크립트가 2배 많이 탐지됐는데, 이는 동영상스트리밍 사이트처럼 오래 머무르는 웹사이트에서 채굴작업이 효과적이었기 때문이라고 봤다. 또 시만텍 조사에 따르면 IoT기기를 겨냥한 공격은 2016년 6천건에서 2017년 5만건으로 증가했다. 시만텍은 공격자들이 네트워크에 연결된 IoT기기 특성을 악용해 대규모 채굴을 시도할 수 있다고 경고했다.

윤광택 CTO는 "향후 크립토재킹 동작을 갖춘 IoT봇넷 악성코드 확산과 클라우드서비스 시스템의 자원갈취에 따른 추가 피해가 발생할 것으로 예상할 수 있다"며 "현재 크립토재킹 공격 피해자 셋중 둘은 개인 사용자지만, 기업을 겨냥한 공격 비중이 증가하고 있다"고 전망했다.

시만텍의 암호화폐 도둑채굴(크립토재킹) 악성코드 피해 관련 전망. 시만텍의 암호화폐 도둑채굴(크립토재킹) 악성코드 피해 관련 전망.

■ "표적공격 활동 열에 아홉은 정보수집…금전적 이익 목적 비중 적어"

시만텍은 표적공격 활동이 활발했다고 평가했다. 표적공격을 수행하는 공격조직의 수치가 줄어들거나 정체하지 않고 계속 유지되거나 늘어난다고 지적했다. ISTR에 제시된 3년간의 표적공격그룹 수는 2015년 87곳, 2016년 121곳, 2017년 140곳이었다. 그리고 지난해 140개 표적공격그룹 가운데 71%가 표적을 악성코드에 감염시키는 수단으로 스피어피싱 이메일을 썼다. 다른 27%가 제로데이취약점을 활용했다.

윤광택 CTO는 "과거 표적공격 사례를 보면 공격그룹이 워터링홀 및 드라이브바이다운로드와 같은 수법을 많이 썼지만 여전히 최다 악성코드 유입경로는 이메일 스피어피싱공격이었다"며 "특정기업을 노릴 때 외부 이메일 검색으로 특정 사용자의 주소를 얻어내기가 어렵지 않기 때문에 공격자들이 이를 활용하는 것으로 볼 수 있다"고 설명했다.

그는 이어 "표적공격그룹은 금전적인 지원을 받으며 재정적 어려움 없이 활동이 가능한 조직으로, 소멸하지 않고 유지되는 경향을 보인다"면서 "이들의 활동 목적을 보면 정보수집이 최대 비중(90%)을 차지하고, 디스크나 데이터 등을 못쓰게 만드는 파괴 활동 비중(11%)이나 금전적 이익을 취하기 위한 활동 비중(9%)은 높지 않다"고 설명했다.

시만텍은 2015년부터 2017년 사이에 발생한 나라별 표적공격 집계 수치도 짚었다. 3년간 발생한 표적공격 가운데 한국을 노린 사례가 세계 6번째로 많았다. 상위 10대 표적공격 대상국가(건수)를 열거하면 미국(303건), 인도(133건), 일본(87건), 대만(59건), 우크라이나(49건), 한국(45건), 브루나이(34건), 러시아(32건), 베트남(29건), 파키스탄(22건) 순으로 많은 공격건수를 기록했다.

시만텍 인터넷보안위협보고서(ISTR) 제23호 2015-2017년 나라별 표적공격 발생건수 시만텍 인터넷보안위협보고서(ISTR) 제23호 2015-2017년 나라별 표적공격 발생건수

■ "SW공급망 악성코드 확산 공격 발생빈도, 전년대비 3배 기록"

시만텍은 SW공급망(Supply Chain)을 통한 악성코드 유포 시도가 200% 증가했다고 지적했다. SW공급망을 통한 악성코드 유포는 공인된 SW업데이트 시스템을 장악해 이를 통해 업데이트를 전달받는 사용자 기기와 네트워크를 공격하는 수법을 가리킨다. 지난해 발생한 낫페트야(NotPetya) 악성코드 유포 사례가 대표적이다. 이런 공격이 2016년 4건이었는데 2017년들어 월 1번꼴인 12건으로 빈도가 증가했다.

윤광택 CTO는 "SW공급망 공격은 보안이 뛰어난 네트워크를 직접 공격하는 대신, 상대적으로 보안이 허술한 다른 경로상의 SW업데이트 서버나 협력 및 계약관계에 있는 외부 조직의 보안허점을 노려 접근할 수 있는 안전한 통로를 거쳐 공격하는 방식도 포함한다"며 "이런 신뢰 도메인, 디지털 서명, 믿을만한 업데이트 프로세스를 통한 악성코드 배포는 과거부터 있었던 수법이나 여전히 악용되고 있다"고 말했다.

그는 고전적 수법이라는 SW공급망 공격이 여전히 활용되는 이유를 6가지 꼽았다. 첫째, 보안조치가 잘 된 기업에 침투할 수 있는 통로가 되기 때문이다. 둘째, 자동업데이트 절차로 빠르게 감염 규모를 키울 수 있어서다. 셋째, 공격대상을 특정 지역과 분야로 한정지을 수 있어서다. 넷째, 산업환경 등 폐쇄적인 표적 환경에 침입할 수 있어서다. 다섯째, 신뢰프로세스 침해가 피해자에게 빠른 공격식별을 어렵게 하기 때문이다. 여섯째, SW공급망 특성상 악성코드 설치 시점에 공격자에게 상위 권한을 제공하기 때문이다.

SW공급망 공격을 수행하는 공격자들의 목표달성 방식은 3가지로 요약됐다. 그중 대부분은 SW공급망을 직접 공격해 잠복한다음 SW업데이트 시점에 악성코드를 퍼뜨리는 2차 공격을 수행하는 유형이었다. 도메인네임시스템(DNS), 도메인, IP라우팅, 네트워크 인프라를 가로채 SW업데이트 경로를 엉뚱한 곳으로 유도하는 방식이 될수도 있다. 이밖에 제3자 호스팅 인프라를 장악해 공격할 수도 있다.

시만텍이 파악한 공격자들의 SW공급망 활용 공격 시도 이유 6가지. 시만텍이 파악한 공격자들의 SW공급망 활용 공격 시도 이유 6가지.

■ "랜섬웨어 수익화 범죄, 시장조정 국면"

이밖에 시만텍은 ISTR 보고서를 통해 랜섬웨어 수익화 범죄 활동이 일종의 '시장조정' 국면에 들어갔다는 점, 모바일 악성코드와 PC 환경에서 윈도를 넘어선 맥OS 등 다른 운영체제의 악성코드 증가세가 지속되고 있다는 점 등을 지적했다.

2016년 랜섬웨어 수익화 범죄활동은 호황이었다. 평균 랜섬웨어 금전 요구액이 1천70달러에 달했다. 2017년은 시장조정 국면을 맞아 평균 요구액수가 522달러로 줄었다. 뿌리가 같은 랜섬웨어 악성코드의 변종 집합을 묶어 지칭하는 '랜섬웨어 패밀리'의 수도 2016년 98개에서 2017년 28개로 감소했다. 하지만 랜섬웨어 변종 수 자체는 46% 증가했다.

시만텍은 이런 흐름이 랜섬웨어 활용 범죄규모가 줄어들고있다기보다는, 랜섬웨어가 '일상적인 악성코드' 유형으로 자리잡았음을 뜻한다고 봤다. 사이버범죄자들이 랜섬웨어 대신 암호화폐 채굴을 수익실현의 대안으로 바라보기 시작했다고 진단했다.

모바일과 윈도 이외 PC 운영체제의 악성코드 증가세는 ISTR 수치를 통해 확인됐다.

2017년 새로운 모바일 악성코드 변종 수는 전년대비 54% 증가했다. 시만텍은 최신 버전 업데이트 비중이 20%에 불과한 안드로이드 기기처럼 오래된 운영체제가 계속 사용되는 사용자 환경은 이 문제를 더 심각하게 만들고 있다고 봤다. 잠재적으로 해로운 그레이웨어(grayware) 앱이 전년대비 20% 늘어, 모바일 사용자 보안을 위협하고 있다고 덧붙였다. 그레이웨어 앱 63%는 기기 전화번호를 유출했다.

애플의 PC 운영체제 맥OS를 겨냥한 악성코드 증가세도 가파랐다. 2016년 탐지된 신규 및 변종 맥OS 기기용 악성코드 수는 약 77만건이었다. 2017년에는 약 139만건으로 80%가량 늘어났다. 다만 윈도 운영체제를 포함한 전체 PC 악성코드 탐지 현황은 2016년 약 3억5천702만건에서 2017년 약 6억6천995만건으로, 88%가량 늘어났다. 절대치로는 급증했지만 다른 플랫폼에 비해선 맥OS 악성코드 증가세가 덜했다.

시만텍 ISTR 제23호에 담긴 사이버보안위협동향을 요약한 인포그래픽. 시만텍 ISTR 제23호에 담긴 사이버보안위협동향을 요약한 인포그래픽.

■ 기업과 개인을 위한 보안수칙

시만텍은 사이버공격 대응을 위해 기업과 개인사용자 각각이 취할 수 있는 보안수칙을 제안했다.

기업은 위협인텔리전스 솔루션을 이용해 감염 징후를 찾고 빠르게 대응해야 한다. 보안프레임워크 최적화, 측정 가능하고 반복 적용할 수 있는 사고 관리를 수행해야 한다. 기존 사고사례를 통해 보안체계를 개선하고 외부 전문가의 리테이너 서비스를 고려해 위기관리의 도움을 받을 수 있다. 게이트웨이, 메일서버, 엔드포인트 공격에 대응하는 다계층 방어 보안전략을 실행한다. 스피어피싱 등에 대비해 악성 이메일 관련 직원교육을 지속 수행한다. 리소스 및 네트워크 환경에서 비정상 동작을 모니터링하고 전문가 위협인텔리전스로 연관성을 분석한다.

개인사용자는 컴퓨터, IoT기기, 무선랜 환경에 강력한 패스워드를 사용한다. '123456'이나 'password'같이 흔하거나 예상하기 쉬운 패스워드를 쓰지 않는다. 운영체제와 소프트웨어를 최신 버전으로 유지한다. 링크나 첨부파일을 포함한 의심스러운 이메일을 삭제한다. 마이크로소프트 오피스 첨부파일 가운데 매크로 활성화를 유도하는 경우 더욱 주의한다. 랜섬웨어 감염 피해를 막기 위해 파일을 백업한다. 랜섬웨어 공격자는 피해자가 접근할 수 없게 파일을 암호화하는데, 백업이 있다면 감염을 치료하고 파일을 복구할 수 있다.

임민철 기자 / imc@zdnet.co.kr

X