2024-03-29 07:15 (금)
기업 네트워크 공격 신종 파일리스 암호화폐 채굴 악성코드, PowerGhost 등장
상태바
기업 네트워크 공격 신종 파일리스 암호화폐 채굴 악성코드, PowerGhost 등장
  • 길민권 기자
  • 승인 2018.08.07 18:49
이 기사를 공유합니다

PowerGhost, 여러 가지 파일리스 기법 사용해 기업 네트워크에 공격 기반 마련

▲ 카스퍼스키랩 분석자료
▲ 카스퍼스키랩 분석자료
기업 네트워크를 공격하는 신종 암호 화폐 채굴 악성 코드 'PowerGhost'가 발견됐다.

PowerGhost 악성코드를 발견하고 분석한 카스퍼스키랩 측은 "사이버범죄자들이 표적형 공격에 채굴 악성 코드를 활용하는 추세가 늘어나는 가운데 PowerGhost는 가장 최근에 발견된 사례"라며 "이러한 추세가 계속되면 기업은 또 다른 종류의 위험에 처할 것이다. 채굴 악성 코드의 공격으로 기업의 컴퓨터 네트워크 속도가 느려지고 전반적인 비즈니스 프로세스가 피해를 입기 때문이다. 물론 그 과정에서 범죄자들은 큰 돈을 번다"고 설명했다.

최근 사이버 보안과 관련 암호 화폐 채굴 악성 코드에 대한 이슈가 상당하다. 이와 같은 전문 ‘채굴’ 소프트웨어는 공격 대상 PC 및 모바일 기기의 컴퓨팅 성능을 사용하여 코인을 새로 생성한다. 채굴 악성 코드는 당사자도 인지하지 못하는 사이에 그들의 컴퓨터와 기기를 활용하여 수익을 올림으로써 해당 사용자에게 피해를 입힌다.

최근 급증한 이러한 채굴 악성 코드의 위협은 이전에 카스퍼스키랩 연구에서 밝힌 바와 같이, 랜섬웨어를 대체하는 악성 소프트웨어의 대표적인 유형이다. 그러나 PowerGhost의 출현으로 이러한 동향이 새로운 국면을 맞고 있다. 카스퍼스키랩 연구진이 과거 예측한 바와 같이 채굴 악성 코드 개발자들이 더 많은 수익을 올리기 위해 표적형 공격으로 전환하고 있는 것이다.

PowerGhost는 기업 네트워크 내에 분산되어 워크스테이션과 서버를 모두 감염시킨다. 지금까지 브라질, 콜롬비아, 인도, 터키의 기업 사용자들이 주로 PowerGhost 공격의 피해를 입었다. 흥미로운 점은 PowerGhost가 여러 가지 파일리스 기법을 사용해 조심스럽게 기업 네트워크에 공격 기반을 마련한다는 사실이다. 즉, 채굴 악성 코드는 하드 디스크에 직접 저장되지 않으므로 악성 코드의 탐지와 치료가 더욱 복잡해진다.

컴퓨터 감염은 익스플로잇 또는 원격 관리 도구를 통해 원격으로 이루어진다. 컴퓨터 감염 시 채굴 악성 코드 본체는 하드디스크 저장 과정을 거치지 않고 다운로드 및 실행된다. 이러한 작업이 진행된 후에는 사이버범죄자들이 채굴 악성 코드를 조작하여 자동 업데이트를 통해 네트워크 내로 악성 코드를 확산시키고 암호 화폐 채굴 프로세스를 시작할 수 있다.

카스퍼스키랩코리아 이창훈 지사장은 “기업을 대상으로 하는 PowerGhost 공격은 채굴 악성 코드의 설치가 목적이며 이로 인해 암호 화폐 채굴 소프트웨어에 대해 새로운 우려가 발생하고 있다. 카스퍼스키랩에서 PowerGhost를 조사한 결과 사이버범죄자들은 일반 사용자를 노리는 것을 넘어서 이제 기업으로도 관심을 돌리고 있음을 알 수 있었다. 따라서 암호 화폐 채굴은 기업에 위협이 되고 있다”고 말했다.

카스퍼스키랩 제품이 탐지하는 진단명은 다음과 같다.

PDM:Trojan.Win32.Generic

PDM:Exploit.Win32.Generic

HEUR:Trojan.Win32.Generic

not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

회사 측은 채굴 악성 코드 감염 위험을 줄이기 위해 다음과 같은 조치를 취할 것을 권고하고 있다.

1. 사용하는 모든 기기에서 항상 최신 소프트웨어 업데이트를 설치한다. 취약점을 악용하여 채굴 악성 코드가 시스템에 침투하는 것을 막으려면 자동으로 취약점을 탐지하여 패치를 설치하는 솔루션을 사용한다.

2. 대기열 관리 시스템, POS 단말기, 자동 판매기와 같이 공격 가능성이 낮은 표적도 간과하지 않는다. 이러한 유형의 장비도 암호 화폐 채굴을 목적으로 하이재킹될 수 있다.

3. 애플리케이션 제어, 행동 탐지 및 익스플로잇 방지 구성 요소를 강화한 전용 보안 솔루션을 사용하여 애플리케이션 행동을 모니터링하고 악성 파일 실행을 차단한다.

4. 기업 환경을 보호하려면 IT 팀은 물론 일반 직원에게 보안 교육을 실시하고 중요한 데이터는 분리해서 보관하며 접근을 제한해야 한다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★