2024-03-29 10:50 (금)
사이버 범죄자의 큰 수익원으로 돌아온 가상화폐 ‘채굴’ 봇넷 2종 발견
상태바
사이버 범죄자의 큰 수익원으로 돌아온 가상화폐 ‘채굴’ 봇넷 2종 발견
  • 길민권 기자
  • 승인 2017.09.18 14:45
이 기사를 공유합니다

블록체인 기술 기반 가상화폐의 생성에 사용되는 합법적 소프트웨어 몰래 설치

0918-2.jpg
최근 악성 코드에 감염된 컴퓨터로 구성된 봇넷 2종이 발견됐다.  

여기에 사용된 악성 코드는 암호화 가상화폐 채굴 프로그램, 즉 블록체인 기술을 기반으로 한 가상화폐의 생성(채굴)에 사용되는 합법적 소프트웨어를 몰래 설치하는 것으로 알려졌다.

연구팀에서는 4천 대의 컴퓨터 네트워크를 소유할 경우 한 달에 최고 3만 달러의 가상 화폐를 생성할 수 있는 것으로 추정하고 있으며, 5천 대의 PC로 이루어진 봇넷을 이용해 20만 달러 이상의 거금을 손에 쥔 사례도 있었다고 이야기한다.

비트코인을 비롯한 기타 암호화 가상화폐의 아키텍처에서는 암호화 가상화폐를 구입할 수 있을 뿐 아니라, 특수한 ‘채굴’소프트웨어가 설치된 컴퓨터를 활용하여 새로 가상화폐 유닛(코인)을 생성할 수도 있다. 암호화 가상화폐의 개념에 따르면 코인을 많이 생산할수록 새 코인 생성에 필요한 시간이 늘어나고 더 많은 컴퓨팅 성능을 요구한다.

비트코인 채굴 프로그램(피해자의 컴퓨터를 사용하여 사이버 범죄자의 손에 넘어갈 가상화폐를 채굴하는 소프트웨어)을 몰래 설치하는 악성 코드는 여러 해 전부터 사이버 범죄에서 자주 사용되었다. 그러나 채굴된 비트코인이 많아질수록 새로운 비트코인의 채굴은 점점 더 어려워졌으며, 일정 시점에 이르면 급기야 프로세스가 무용지물이 되었다. 악성 코드 제작 및 유포를 비롯하여 후방 인프라 지원에 상당한 규모의 투자가 필요하지만 비트코인 채굴을 통해 금전적 이득을 거둘 가능성이 그 보다 높지 않기 때문이다.

그러나 가장 먼저 등장했고 가장 잘 알려진 암호화 가상화폐인 비트코인의 가격은 최근 몇 년 동안 코인당 수백 달러에서 수천 달러로 급격히 치솟아 전 세계적으로 본격적인 ‘암호화 가상화폐 열기’에 불을 붙였다. 수많은 열혈 사용자 그룹과 신생기업이 비트코인을 대체할 자체 가상화폐의 출시에 착수했으며, 이들 중 다수는 비교적 짧은 시간에 상당한 시장 가치를 확보하기도 했다.

가상화폐 시장에서의 이러한 변화에 결국 사이버 범죄자들도 관심을 기울이게 되었고 현재 이들은 수많은 PC에 가상화폐 채굴 프로그램을 몰래 설치하는 한편으로 다시금 사기 범죄 쪽으로 눈길을 돌리고 있다.

카스퍼스키랩 전문가들의 최근 연구 결과에 따르면 새롭게 발견된 봇넷 배후에 있는 사이버 범죄자들은 피해자가 자발적으로 설치하는 애드웨어 프로그램의 힘을 빌어 가상화폐 채굴 소프트웨어를 유포하고 있다고 한다. 이러한 애드웨어 프로그램은 피해자의 컴퓨터에 설치된 후 채굴 소프트웨어 설치 프로그램과 같은 악성 구성요소를 다운로드한다. 다운로드된 구성요소는 가상화폐 채굴 소프트웨어를 설치할 뿐 아니라, 채굴 소프트웨어가 가급적 오래 작동할 수 있게 해주는 여러 활동을 수행한다. 그러한 활동의 예는 다음과 같다.

▲보안 소프트웨어 무력화 시도

▲모든 애플리케이션의 실행을 추적하고 시스템 활동 또는 프로세스 실행을 모니터링하는 프로그램이 시작될 경우 자체 활동을 일시 중단

▲채굴 소프트웨어 복사본이 항상 하드 드라이브에 남아있도록 확인하고 삭제된 경우 복구

채굴된 코인은 즉시 범죄자가 소유한 전자 지갑으로 전송되며, 피해자는 이상하게 컴퓨터의 성능이 저하되면서 전기요금은 평소보다 약간 더 높아지는 현상을 경험하게 된다. 카스퍼스키랩에서 관찰한 바로는 보통 범죄자들이 채굴하는 가상화폐는 Zcash와 Monero의 두 종류이다. 특별히 이들 가상화폐를 택한 것은 아마도 거래 및 전자 지갑 소유주의 익명 처리가 안정적이기 때문일 것이다.

악성 채굴 프로그램이 다시 고개를 들기 시작한 첫 징후가 포착된 시기는 2016년 12월이다. 한 연구원의 보고서 내용을 살펴보면 1천 대 이상의 컴퓨터가 악성 코드에 감염되어 2016년 10월 말에 출시된 암호화 가상화폐인 Zcash를 채굴하고 있었다고 한다. 당시 Zcash의 가격이 급상승 중이었기 때문에 이 봇넷은 1주일에 6천 달러에 육박하는 금액을 소유주에게 가져다 줄 수 있었다. 새로운 채굴 봇넷의 출현도 이때 예견되었으며, 최근의 연구 결과로 당시의 예측이 옳았던 것이 확인됐다.

카스퍼스키랩 연구팀의 조언에 따르면, 자신이 사용하는 컴퓨터가 열심히 일해 범죄자에게 돈을 벌어다 주며 전기를 낭비하는 좀비 컴퓨터로 변하는 것을 막으려면 다음과 같은 조치를 취해야 한다고 한다.

▲신뢰할 수 없는 출처의 의심스러운 소프트웨어를 PC에 설치하지 않는다.

▲사용 중인 보안 솔루션에서 애드웨어 탐지 기능을 사용한다.

▲검증된 보안 솔루션을 사용하여 악성 채굴 프로그램은 물론이고 모든 보안위협 가능성으로부터 디지털 환경을 보호한다.

▲서버는 일반 PC에 비해 컴퓨팅 성능이 뛰어나서 범죄자에게 수익성 좋은 목표물이 되기 때문에, 서버를 운영하고 있을 경우 반드시 서버를 보안 솔루션으로 보호해야 한다.

카스퍼스키랩코리아의 이창훈 지사장은 “가상화폐 악성 채굴 프로그램이 큰 문제가 되는 것은 이러한 프로그램의 활동을 탐지하기가 굉장히 어렵다는 데 있다. 악성 코드가 완벽하게 합법적인 채굴 소프트웨어를 사용하기 때문이다. 이런 소프트웨어는 합법적인 사용자가 정상적인 상황에서 설치할 수도 있다. 2가지 새로운 봇넷을 관찰하면서 확인한 또 하나의 놀라운 사실은 이들 악성 채굴 프로그램 자체가 지하 시장에서 가치가 높아지고 있다는 점이다. 정식 버전을 구매할 의사만 있으면 누구라도 자체 채굴 봇넷을 생성할 수 있게 해주는 소프트웨어, 즉 이른바 채굴 프로그램 제작 툴을 제공하는 범죄자도 눈에 띄었다. 이런 추세를 미루어 보면 최근에 확인된 봇넷으로 그치지 않고 앞으로 더 많은 봇넷이 생겨날 것이 분명하다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★