크립토-재킹 보안대책 당장 마련하라

최근 몇 달 사이 암호화폐 시세가 급등하면서 사이버 범죄자가 봇넷 이용한 불법 암호화폐 채굴로 몰려든다


사진:GETTY IMAGES BANK

디지털 통화의 부상이 국제 상거래, 금융포용, 기술혁신 혁명의 원동력이 되고 있다. 그러나 상당수 새 온라인 플랫폼과 마찬가지로 어두운 이면도 모습을 드러내기 시작한다. 크립토-재킹(crypto-jacking)으로 알려진 불법 암호화폐 채굴에 오래 전부터 전문가들이 경고신호를 보내왔지만 요즘엔 악의적인 활동이 실제로 증가하며 서버 기능 마비를 훨씬 뛰어넘는 피해를 기업에 미칠 수 있다.

요컨대 네트워크를 감시하면서 암호화폐 채굴 멀웨어(악성 소프트웨어)를 제거하지 못하는 기업은 높은 전기요금 청구서보다 훨씬 더 큰 위험에 노출될 수 있다.

디지털 광산에선 지금

암호화폐 투자는 21세기의 골드러시나 다름 없다. 세계적으로 기업가, 정부, 사이버범죄 조직들이 비트코인과 모네로 같은 블록체인 기반 암호화폐를 더 많이 채굴하는 방법으로 대박을 터뜨리려 하고 있다. 화폐 채굴은 기본적으로 다수의 컴퓨터가 복잡한 수학적 계산을 수행해(해싱 알고리즘) 디지털 거래를 인증하면 블록체인 기반 공개원장에 기록되는 과정을 수반한다. 컴퓨터들은 이런 계산을 수행하는 대가로 소량의 암호화폐로 보상을 받는다. 수학적 계산을 수행하는 해싱 파워가 클수록 더 많은 거래를 인증해 더 많은 디지털 화폐를 받을 수 있다.

최근 몇 달 사이 암호화폐 시세가 급등한 걸 보면 사이버 범죄자들이 왜 달려드는지 이해하기 어렵지 않다. 이들은 PC·서버·모바일기기 그리고 사물인터넷 연결기기 등을 가로채는 이른바 크립토-재킹이라는 수법을 이용해 암호화폐 채굴자 봇넷(해커의 조종을 받는 단말기 네트워크)을 구축할 수 있다. 이 모든 과정이 이용자나 IT 관리자 모르게 이뤄진다. 여러 모로 볼 때 완전 범죄다. 랜섬웨어(사용자의 파일을 인질로 잡는 악성 프로그램)와 달리 피해자를 전혀 상대할 필요가 없고 멀웨어가 적발되면 다른 기기를 몇 대 더 감염시켜 똑같은 성능 수준으로 봇넷을 유지하기만 하면 된다.

수백만 대의 감염된 기기로 이뤄진 봇넷을 찾아낸 전문가도 있다. 각 기기가 하루 0.25달러 정도를 벌어들인다면 이들 오염된 컴퓨터 네트워크가 해커들에게 안겨주는 소득이 연간 1억 달러를 웃돌 수 있다. NTT 시큐어리티는 글로벌 인터넷 데이터 흐름의 약 40%에 대한 우리의 분석자료를 이용해 이 같은 흐름을 긴밀하게 추적해 왔다. 최근 2015년 3월부터 모네로 채굴 멀웨어 표본 1만2000개를 수집했더니 대다수(66%)가 지난해 11~12월 발견된 것이었다. 최근 활동이 증가했음을 말해준다.

우리 비즈니스도 위험한가?

소비자 단말기와 기기도 분명 타깃이 되고 있지만 이 같은 트렌드는 기업들에게 특히 나쁜 소식이다. 한 조사업체의 추산으로는 올 2월 글로벌 기업의 42%가 관련 멀웨어에 감염됐다. 또 다른 조사에선 기업들에 대한 크립토-재킹 공격이 지난해 6배 증가했으며 제조업(29%), 금융 서비스업(29%), 예술&엔터테인먼트 기업(21%)이 가장 큰 타격을 받았다.

타깃이 되는 기업들이 갈수록 늘어난다. 기업 서버가 디지털 채굴 멀웨어에 더 많은 컴퓨터 연산능력을 제공할 수 있기 때문이다. 홈 PC에 비해 적은 숫자의 서버를 감염시켜도 해커에게 똑같은 투자수익률을 가져다 줄 수 있다는 의미다. 이 같은 자원유출은 전기요금 상승과 성능 저하를 유발할 수 있다. 이는 생산성에 영향을 미치고 시간이 흐를수록 장비의 노후화를 초래할 수 있다. 어쩌면 무엇보다도 회사 시스템에 대한 더 심각한 사이버 공격으로 연결될 가능성도 있다. 한 보안업체는 지난해 상반기 그들이 파악한 비트코인 채굴자 수가 4000에 육박했는데 그중 20%가 XSS(cross-site scripting, 소프트웨어 보안 취약점의 하나), SQL 삽입(SQL injection, 구조화 조회 언어 강제 삽입), 랜섬웨어, 비밀번호 무작위 대입 공격(brute force password attacks) 등 웹과 네트워크 기반 공격을 촉발했다고 주장했다.

해킹 피해를 막으려면

우리의 분석자료에선 표적 시스템에 거점을 확보하는 일차적인 수단은 악성 이메일 공격이다. 그러나 해커들이 표적 기업 자원을 가로채는 유일한 방법은 결코 아니다. 랜섬웨어와 마찬가지로 기업들이 방어태세를 갖춰야 하는 여러 가지 위협 경로가 있다.

코인하이브 같은 합법적인 코인 채굴 서비스도 해킹에 동원돼 모바일 게임과 심지어 웹사이트에까지 삽입됐다. 그런 소프트웨어는 엄밀히 말해 멀웨어가 아니기 때문에 때때로 전통적인 보안 필터로는 걸러지지 않을 수도 있다. 영국 사이버보안연구센터(National Cyber Security Centre)도 2018~2019년에 이 문제가 크게 부각될 수 있다고 최신 보고서에서 경고했다. 한 보안 연구팀의 조사에선 영국 프라이버시감시국(Information Commissioner’s Office), 미국 법원, 영국 종합의학위원회, 영국 학자금융자기구, 스코틀랜드 건강정보서비스 등을 포함해 4000개 웹사이트에서 코인하이브의 작동이 감지됐다.

공격표적 중 잠재적으로 증가하는 또 다른 부분은 개인소유 기기를 업무에 이용하도록 허용하는 BYOD 방식의 모바일 단말기에 있다. 한 업체는 지난해 4분기부터 올해 1분기 사이 안드로이드 기기에서 암호화폐 채굴 감지 건수가 4000% 증가했다고 주장했다. 보안이 허술한 사물인터넷 기기도 자금난에 허덕이는 디지털 범죄자들에게 크고 수익성 좋은 컴퓨터 성능 공급원이다. 사물인터넷 기기 중 상당수가 공장 출고시 설정된 비밀번호를 그대로 사용한다. 그리고 펌웨어 업데이트를 실시하지 않아 공격에 무방비로 노출된다.

그렇다면 크립토-재킹으로 증가하는 위협을 억제하려면 기업들이 무엇을 할 수 있을까? 대다수 사이버보안 위협과 마찬가지로 완벽한 솔루션은 없다. 답은 충분히 검증된 최선의 기법들을 결합하는 데 있다. 정기적인 리스크 평가와 시스템 업데이트에 덧붙여 침입 방지와 감시, 앱 화이트리스팅(app whitelisting, 안전한 파일만 접수하도록 하는 방식), 계속적인 네트워크 모니터링을 겹겹이 쌓는 방법이다. 모든 모바일 기기와 사물인터넷 단말 기기를 여기에 포함시키는 게 무엇보다도 중요하다. 해커들은 항상 따먹기 쉬운 과일을 노리게 마련이며 따라서 가장 취약한 기기를 경시하는 보안전략은 처음부터 실패할 수밖에 없다.

이런 기술 중심적인 접근법뿐 아니라 직원 대상의 피싱 공격 식별법 교육, IT 관리자 대상 크립토-재킹 당한 시스템의 경고신호 식별법 등 사람과 과정에도 다시 관심을 가져야 한다. 해커들에게 경제적인 이득이 생기는 한 크립토-재킹은 사라지지 않는다. 오히려 시간이 지날수록 공격이 더 고도화해 뱅킹 트로이 목마와 랜섬웨어 등 복수의 개체가 통합될 수 있다.

따라서 당장 이런 최신 위협을 회사의 보안 전략에 포함하는 조치를 취해야 한다. 전기요금 납부액이 좀더 증가하는 것보다 더 잃을 게 많다는 사실을 잊지 말아야 한다.

– 테런스 드지저스

※ [필자는 NTT 시큐리티의 위협리서치 분석가다.]