당신의 PC를 노예로 만드는 크립토재킹
당신의 PC를 노예로 만드는 크립토재킹
  • 석대건 기자
  • 승인 2018.08.28 07:44
  • 댓글 0
이 기사를 공유합니다

[키뉴스 석대건 기자] 해커의 어원은 ‘해크(hack)’에서 유래했다고 알려졌다. ‘해크’는 거칠게 자르거나 헤집는다는 뜻이다. 상대방의 PC로 몰래 침입해 ‘해크’하는 이들을 해커라고 부르는 부르는 것이다. 그리고 pc 정보를 인질로 삼고 보상금을 요구해왔다.

해커는 더 이상 협박하지 않는다. 몰래 이용할 뿐이다. 

개인 사용자 PC로 암호화폐를 채굴하는 신종 해킹 방식인 크립토재킹은 자신이 피해를  당했는지도 모를 수 있어 심각한 보안 위협 요소로 지목된다.

크립토재킹을 당했을 때, 대표적인 현상은 CPU 사용량 증가다. 사용자 PC가 본래의 작업 외에 가상화폐 채굴에도 사용되고 있기 때문이다. 

크립토재킹 침투 과정 (사진=KISA)
크립토재킹 침투 과정 (사진=KISA)

안랩 관계자는 “작업관리자의 성능 탭에서 CPU 사용량이 많은 상태에서 웹 브라우저를 종료 시 사용량이 줄어든다면 방문 중인 웹 페이지에서 마이닝 코드가 삽입되어있을 가능성이 크다고 의심할 수 있다”고 지적했다.

그러나 사용자는 감염 여부를 정확히 파악할 수 없다. 안랩 관계자는 “성능이 저하되는 증상 외에 일반적인 PC 사용자가 감염을 인지하기는 어려운 부분”이라고 지적했다. 피해자는 그저 짐작할 수밖에 없다는 것이다.

이같은 해커들이 클라우드를 도입한 기업을 크립토재킹 타깃으로 삼는 이유기도 하다. 

사이버 보안 기업 파이어아이(Fireeye)에 따르면, 클라우드컴퓨팅은 대규모 PC·전기를 사용하기 때문에 크립토재킹을 하는 사람들은 눈에 띄지 않고 시스템에 잠입해 가상화폐를 채굴하기가 쉽다.

실제로 지난 2월, 전기 자동차 기업 테슬라의 보안을 관리하는 레드록 (RedLock)은 “해커들이 테슬라의 클라우드로 침투했고 이를 가상화폐 채굴에 이용했다”며, "해커들이 테슬라 서버 위에 가상화폐 채굴 소프트웨어를 설치한 뒤 채굴 IP를 숨기고 CPU 사용량이 지나치게 높지 않게 조절해 추적을 피했다”고 밝혔다.

웹페이지 접속만으로도 크립토재킹 당할 수 있어

크립토재킹은 악성코드 외에도 웹 브라우저를 통해서도 가능하기 때문에 큰 위험하다.

기존의 실행 파일 기반의 악성코드와는 달리, 웹 브라우저 기반으로 동작하는 크립토재킹 방식은 악성 자바스크립트(JavaScript)를 이용해 동작한다. 이 자바스크립트가 추가로 악성 자바(JAVA) 파일 또는 웹어셈블리(WebAssembly) 파일을 로드하는 것이다.

만약 접속자가 크립토재킹 악성 스크립트가 입력된 웹 페이지에 접속하게 되면, 접속자 pc는 가상화폐 채굴을 시작한다. 그리고, 그 결과는 공격자의 지갑 주소에 전송된다.

예를 들어, 해커가 보안이 약한 소규모 호스팅 서비스 서버에 악성 스크립트를 심은 상태라면 사용자가 해당 호스팅 서비스를 이용하는 홈페이지에 방문만 해도 사용자는 크립토재킹에 당하는 것이다.

광고성 사이트에 포함된 악성 자바스크립트 (사진=안랩)
광고성 사이트에 포함된 크립토재킹 악성 자바스크립트 (사진=안랩)

안랩에 따르면, 파일 기반의 악성코드의 경우 최종 페이로드를 사용자 시스템에 전달하기 위해 파일 다운로드 후 실행하기까지 과정이 필요하지만, 웹 기반 방식은 단순 웹 페이지 접속만으로도 크립토재킹이 가능하기 때문에 공격자 입장에서는 좀 더 손쉬운 채굴 방식이 될 수 있다고 설명한다.

게다가 스크립트만 추가하면 해킹이 가능하기 때문에, 홈페이지 관리 직원이 악용한다면 언제라도 쉽게 자신의 가상화폐 지갑을 채우는 채굴기를 홈페이지 방문자PC에 심을 수 있다.

KISA 관계자는 “아직 정책적으로 크립토재킹에 대해 별도의 대비책은 마련되지 않았다”며, “악성코드 대비 등 변종 해킹 수법에 대응 체계는 상시적으로 대비하고 있다”고 밝혔다.

네이버 뉴스 스탠드에서 키뉴스를 만나보세요. 키뉴스 뉴스스탠드 바로가기 - MY 뉴스 설정
관련기사

  • 서울시 강남구 역삼로25길 46, 3층(역삼동) (주)디지털투데이
  • 대표전화 : (02)786-1104
  • 팩스 : (02)6280-1104
  • 청소년보호책임자 : 김효정
  • 제호 : 온라인 디지털 경제미디어 키뉴스(KINEWS)
  • 등록번호 : 서울 아 00926
  • 등록일 : 2009-08-03
  • 발행일 : 2007-05-09
  • 발행인/편집인 : 김영준
  • 온라인 디지털 경제미디어 키뉴스(KINEWS) 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2019 온라인 디지털 경제미디어 키뉴스(KINEWS). All rights reserved. mail to kinews@kinews.net
ND소프트
인터넷신문위원회