암호화폐 가격이 하락하면, 암호화폐 채굴악성코드도 줄어들까?
2018년이 저물어 가는데 올해에는 암호화폐라는 하나의 기술이 분명한 족적을 남겼습니다. 디지털 화폐는 2017년 말에 일약 등장하여 한 해를 강렬하게 시작했습니다. 그 후로는 암호화폐가 전세계적으로, 특히 위협 환경에 커다란 영향을 주었다고 말하는 것이 적절할 것입니다. 하지만 암호화폐가 지속적으로 퇴보하여 2017년말 및 2018년초의 고점 대비 가치가 75% 이상 급격히 하락함으로써 암호화폐의 2018년은 우울하게 저물어 가고 있습니다.
악의적 암호화폐 마이닝은 적들(공격자들)이 선택한 새로운 페이로드였으며 반복적 수익, 랜섬웨어와 같은 위협의 일시금 지급을 제거하는 것이 위협 환경의 상위에 있습니다.
하지만 점진적 퇴보 후에 이어진 시장의 급격한 붕괴로 과연 위협 환경이 영향을 받을 것인가 하는 의문을 제기합니다. 일반적 통념에도 불구하고 시스코 탈로스(Cisco Talos)는 암호화폐 마이닝에서 뚜렷한 이탈 현상은 목격하지 못했습니다. 이동 부분이 관찰되었지만 그것은 분명히 위협 배포와 봇넷(botnet)이 모두 중요한 역할을 하는 이메일 공간에 존재해왔습니다. 2018년이 진행되면서 적들은 이메일 공간의 페이로드를 암호화폐 마이닝에서 분리하고 Emotet 및 RAT(Remote Access Trojans)와 같이 보다 모듈화된 위협으로 이동하고 있습니다. 또한 탈로스는 오늘 또 하나의 블로그를 발표하는데, 여기서는 암호화폐 마이닝 경력이 있는 일부 유명한 행위자들을 관찰했던 최근의 캠페인 몇 가지를 개략적으로 설명합니다.
실제 세계의 영향 및 관련 데이터를 검토할 결과, 암호화폐 마이닝이 줄어드는 것이 아니라, 오히려 환경의 특정 측면에서는 그 빈도가 약간 증가할 수 있는 것으로 보입니다. 2019년으로 접어들면서 선택하는 페이로드가 위협 환경의 여러 측면 사이에서 지속적으로 분기할 것으로 예상됩니다. 그럼에도 불구하고 기업들은 자체 네트워크에서 이루어지는 악의적인 또는 승인되지 않은 암호화폐 마이닝 활동에 대처할 준비기 필요합니다. 왜냐하면 그 활동이 현재로서는 아직 근절되지 않았기 때문입니다.
서론
위협 환경에 관한한 2018년은 악의적 암호화폐 마이닝의 한 해였다는 점이 분명합니다. 시스코 탈로스는 2018년 초에 암호화폐 마이닝에 관하여 처음 다루었고, 위협 및 관련 내용을 다룬 백서를 포함하여 연중 여러 번에 걸쳐 다시 다루었습니다. 이러한 공격에서 악의적 행위자들이 멀웨어를 시스템에 주입하고, 암호화폐 “마이닝”을 위해 그들의 컴퓨팅 파워를 훔쳐 사용합니다. 대규모로 수행될 경우 이러한 공격 때문에 기업에 많은 에너지와 리소스의 손실이 발생할 수 있습니다. 그리고 개인 사용자의 경우는 컴퓨팅 파워와 속도가 현저히 떨어뜨릴 수 있습니다.
당시에 공격자들이 선택한 페이로드로서 주로 모네로(Monero) 기반 암호화폐에 신속한 침투를 시작하였음이 명확했습니다. 그 후로, 우리는 위협 환경에서 수 년간 아마도 지금까지 가장 큰 변화 중 하나를 목격하였습니다. 적들은 모두, 2016년과 2017년에 걸쳐 랜섬웨어가 매우 효과적으로 제공했던 일시불 도박 대신에 암호화폐 마이닝의 반복적 수익 모델 아이디어에 동참하였습니다. 랜섬웨어 공격에서는 공격자들이 감염된 사용자들에게 정보를 되돌려주는 대가로 돈의 지급을 요구하였습니다. 하지만 마이닝이 경우 공격자들이 자신의 활동에서 매일 수익이 보입니다.
하지만 이러한 대규모 이동에는 위험이 있습니다. 그 중 주된 위험은 마이닝하는 통화의 가치입니다. 우리가 처음에 악의적 암호화폐 마이닝에 관하여 글을 썼을 때, 적들은 기본적 홈 컴퓨터에서 하루에 약 0.25달러를 버는 것을 기대할 수 있었습니다. 이 블로그를 쓰는 시점에서는, 동일한 컴퓨터에서 기대하는 가치가 하루에 약 0.04 달러를 약간 넘는 수준으로 급락했습니다. 상상할 수 있듯이, 이것이 적들의 수익에 영향을 주었습니다. 현재는 예전에 하나의 시스템으로 발생하던 수익이 지금은 약 여섯 대의 시스템이 필요합니다. 잠재적 영향에 대해 더 심층적으로 파고 들기 전에, 암호화폐 마이닝이 2018년의 위협 환경에서 가졌던 역할의 규모와 범위에 대해서 설명하도록 하겠습니다. 가장 흥미로운 측면 중 하나는 스팸, 웹, 능동적 악용(active exploitation) 등 여러 다양한 공격 경로에서 이 변화가 얼마나 널리 채택되었는가 하는 점입니다.
스팸 및 마이닝의 영향
위협이 위협 환경에 어떤 영향을 주는지를 나타내는 최선의 지표 중 하나는 스팸 수준입니다. 우리가 일상적으로 보는 스팸의 대부분은 봇넷에서 생성되며, 그 봇넷은 그 활동을 통해서 수익을 창출합니다. 우리가 암호화폐 마이닝 일년 동안에 일부 변화를 목격했던 곳이 여기입니다. 보시다시피 아래에서 전체 스팸 수량은, 2018년 초의 대규모 공격 두 개를 제외하고는 줄었습니다.
2017년말에서 2018년초까지는 스팸 수준이 하락하였습니다. 그 후에는 상승하기 시작하였고 지금은 대체로 2017년의 수준에 근접하고 있습니다. 이는 예전에 스팸 전송을 위해 사용되었던 시스템 중 일부가 암호화폐 마이닝 작업을 하도록 변경되었을 가능성이 있는 봇넷 기능의 변화를 나타냅니다. 스팸 생성 대신에 암호화폐 마이닝을 실험한 봇넷(예: Necurs)에 관한 보고가 지난 해 내내 있었습니다. 하지만 스팸 환경에는 두 가지 측면이 있으며 각각 이야기가 다릅니다. 한 측면은 스팸을 전송하는 봇넷을 제어하는 것이고 다른 측면은 스팸을 멀웨어 확산을 위한 매커니즘으로 사용하는 것입니다.
스팸을 통해 멀웨어를 전달하는 적들은 인적 구조가 다르며, 따라서 환경도 약간 다르게 보입니다. 2018년 초에 탈로스는 직접 또는 다운로더를 사용하여 악성 암호화폐 마이닝을 전송하는 거의 지속적인 캠페인을 목격하였습니다. 연중 시간이 경과함에 따라 최근에 암호화폐의 가격이 떨어지기 시작하자 적들이 다른 영역으로 진출하여 다른 페이로드를 전달하는 것을 우리는 목격하고 있습니다.
암호화폐 마이닝이 시들어지자 Emotet이 최대의 승자 중 하나게 되었습니다. Emotet이 활성화 상태에서는 대규모로 계속 전달되는 것을 목격해왔습니다. Emotet은 지속적으로 매우 효율적인 모듈식 페이로드로서 몇 가지 기능이 포함되어 있고 현재는 랜섬웨어도 포함하고 있습니다. 적들이 다양한 페이로드를 전달하도록 지원하는 이러한 유형의 모듈식 멀웨어 프레임워크는 지속적으로 인기가 올라갈 것이며, 최종적 페이로드는 수많은 외부 요소들에 따라 달라질 수 있습니다. 오늘날 스팸 환경을 살펴보면 캠페인을 통해 채굴기에 전달되는 것이 주기적으로 목격되지만 2018년초에 비해서는 훨씬 줄었습니다. 현재는 마이닝보다는 RAT나 Emotet와 같은 모듈식 위협이 발견될 가능성이 더 높습니다. 암호화폐 마이닝이 2018년의 이메일 위협 환경에 현저한 영향을 주었지만, 이메일은 위협 환경에서 주요 지표 중 하나에 불과합니다. 다음에는 웹 기반 공격에 대해 살펴보겠습니다.
웹
공격자들은 전세계의 시스템을 훼손하기 위해 웹 기반 공격을 지속적으로 많이 활용하고 있습니다. 과거에는 랜섬웨어와 기타 위협을 손상된 시스템에 배포하기 위해 익스플로잇 킷(Exploit Kit)과 멀버타이징 캠페인이 사용되었습니다. 2016년말 이후로 전세계의 익스플로잇 킷 활동은 현저히 줄었습니다. 계속 유지되었던 캠페인 중에서 악성 크립토마이닝(cryptomining) 페이로드가 (과거에 해당 캠페인들과 연결되었던 일부 다른 멀웨어가 아닌) 다운로더를 통해 흔히 배포되었습니다. 익스플로잇 킷 및 멀버타이징과 함께 암호화폐 마이닝 멀웨어도 가짜 Flash Player 업데이트를 통해 전달되는 것도 자주 목격되었습니다. 이러한 공격에서는 피해자들에게 Adobe Flash Player 버전을 업데이트하도록 알려주지만, 멀웨어는 시스템을 감염시켜 사이버 범죄자들을 위해 암호화폐를 마이닝할 때 사용되는 페이로드를 다운로드합니다.
마찬가지로, 다수의 웹사이트에서 CoinHive와 같은 “브라우저 기반”(in-browser) 마이닝의 인기가 높아졌는데, 해당 사이트는 웹사이트 방문자들이 자신의 웹 브라우저에서 암호화폐를 마이닝하도록 야기하는 웹 페이지 내장 스크립트를 사용합니다. 2018년에는 암호화폐 마이닝이 주된 흐름이 되었기 때문에, 일부 셰어웨어 어플리케이션조차도 사용자들에게 어플리케이션 개발자들을 지원하는 한 방법으로서 자신의 시스템을 활용하여 암호화폐 마이닝을 허용하도록 유도하였습니다. 방법에 관계 없이 적들이 포기할 수 없는 기회가 너무 많이 있습니다. 악성 암호화폐 마이닝에는 추가 통신이 거의 필요하지 않으며, 브라우저 기반 또는 쉐어웨어 지원 마이닝의 경우 단순히 “약간의 돈이라도 없는 것보다 낫다”라는 개념입니다. 벌 수 있는 돈이 있는 한, 악의적인 또는 승인되지 않은 암호화폐 마이닝은 인터넷에서 일상생활의 일부가 될 것입니다. 웹과 이메일에 대해 설명했으므로, 이제는 적들이 직접적이고 적극적인 착취를 통해 취하는 보다 적극적인 조치에 초점을 맞추겠습니다.
능동적 악용(Active exploitation)
악성 암호화폐 마이닝의 한 가지 고유한 측면은 훼손된 시스템이 생산할 수 있는 수익의 금액이 시스템이 실행되는 하드웨어와 직접 관련된다는 것입니다. 시스코 탈로스는 적어도 일년 동안 적들이 악성 암호화폐 마이닝에 대해 논의한 후 그 기능을 구현하는 것을 관찰하였습니다. 탈로스는 능동적 악용이 악성 암호화폐 마이닝에서 매우 중요한 역할을 수행할 수 있다는 예를 수없이 목격했습니다.
Apache Struts에서 Eternal Blue, Oracle WebLogic 및 기타 널리 퍼진 원격 이용이 가능한 버그에 이르기까지, 적들은 채굴기에 호드(Horde)를 전달하기 위해 시스템을 적극적으로 이용해왔습니다. 일부의 경우 적들은 최대한 신속히 대량의 컴퓨터를 감염시키기 위해 워밍(worming) 기능 즉 자가 복제하여 다른 컴퓨터에 영향을 줄 수 있는 기능을 추가하였습니다. 방법에 관계 없이 서버는 수익 잠재력이 높기 때문에 악성 암호화폐 마이닝의 필수적 목표입니다. 통화 자체의 가치에 변동성이 있음에도 불구하고 그 상황은 꾸준히 유지되어 왔습니다. 암호화폐 마이닝은 수익을 창출하고, 행위자 또는 행위자 그룹이 새로운 위협을 위해 시간과 비용을 투입하였을 경우 그 특정 페이로드에서 철수하려면 많은 노력이 소요된다는 것은 변함 없는 사실입니다. 암호화폐 마이닝에 의미 있는 글로벌 변화가 있다면 그것은 가장 많은 주목을 받는 곳이 될 가능성이 높습니다. 위협 환경의 각 영역은 어떤 방식으로든 암호화폐 마이닝의 영향을 받았지만, 실제 영향은 기업들이 가장 우려하는 부분입니다.
특히 그러한 능동적 악용 캠페인에 초점을 맞춘 지난해의 해당 캠페인 진행 상황에 관한 자세한 내용은 여기의 첨부 블로그를 참조하십시오.
실제 영향
위협에 대한 우리의 상황을 가장 잘 나타내는 지표 중 하나가 실제 영향입니다. 이 블로그에서, 해당 데이터가 존재할 두 가지 주된 분야는 엔드포인트와 네트워크입니다. 의심할 여지 없이 암호화폐 마이닝은 2018년에 전체는 아니지만 대부분의 기간에 위협 환경에서 지배적인 위협이었습니다. 2018년에 우리가 받았던 가장 흔한 경고는 암호화폐 마이닝, 전달 또는 상당한 격차로 보급된 것과 관련이 있었습니다. 더욱 흥미로운 것은 적어도 아직까지는 그 상황이 약화되지 않는 것으로 보인다는 점입니다.
우리가 데이터를 살펴보기 시작할 때 암호화폐 마이닝 활동의 전체 양이 최근 몇 달은 감소했을 것으로 예상했는데 사실을 그렇지 않았습니다. 암호화폐 마이닝 활동의 양이 조금 줄었지만 그것은 위협 환경의 두어 분야에 국한되었습니다. 가장 큰 감소를 보인 것은 악성 스팸 이메일의 수였습니다. 2018년 초에는 암호화폐 채굴기에 전달하기 위해 하루 종일 캠페인이 실행되는 것을 목격했습니다. 2018년 말에는 그렇지 않았습니다. 대신에 그 특정 환경을 지배하는 것은 RAT, Emotet와 같은 위협입니다.
보시다시피 지난 6개월 동안 이벤트 수가 주별로 약간의 차이가 있지만, 전체적으로는 추세선이 유지되고 있으며 2018년 6월 이후로 전체 경고 규모는 크게 변하지 않았습니다.
우선 네트워크 기반 감지 상태를 살펴보는 것으로 시작하겠습니다. 이 특정 상황에서는 특히 유선상 암호화폐 마이닝 활동을 살펴보는데, 채굴기로의 전달이나 전파는 제외합니다. 이는 배포가 아닌 실제 마이닝 활동을 구체적으로 명확히 살펴보는 것입니다. 추세선을 보면 6월 이후로 수준이 약간씩 상승해왔을 알 수 있습니다. 따라서 채굴기에 동일한 수준에서 푸싱되는 것이 관찰되지 않는다는 사실에도 불구하고, 특히 이메일 공간에서는 전반적 기능이 대체로 일정하게 유지되고 있습니다. 이는 장기적인 마이닝 활동 그리고 특히 악성 마이닝과 관련하여 위협 환경에서 능동적 악용, 무차별 대입공격 및 웹 기반 공격의 중요성을 모두 나타내고 있습니다.
엔드포인트 데이터는 대부분 일정하게 유지되었지만 날짜별로 변동폭이 더 큽니다. 이는 시스템의 셧다운 또는 비정기적 간격으로 정리한 결과로 보입니다. 그럼에도 불구하고 암호화폐의 가격이 급락했던 지난 달을 포함하여 의미 있는 하향 움직임은 보이지 않습니다.
암호화폐 가격의 폭락
이러한 대규모 잠재적 변화의 실제 촉진 요소는 전반적인 암호화폐의 가치입니다. 2017년 말에 그 가치는 불과 6개월 전에만 해도 상상할 수 없었던 수준에 도달하였습니다. 그러한 상승이 지속되자 그와 함께 암호화폐에 대한 관심도 급격히 상승하였습니다. 몇 년 전에 수천 달러를 투자했던 사람들이 순식간에 이제는 백만장자 대열에 들어서고 있습니다. 이는 또한 램섬웨어의 증가와도 일치하는데 그 이유는 암호화폐가 주된 결제수단이기 때문입니다.
이점은 초기에 새로운 화폐를 채택했던 사람들에 국한되지 않습니다. 적들과 업체들 모두가 상당한 규모의 디지털 화폐 위에 앉아 있음을 발견하였습니다. 비트코인을 초기에 수용했던 불량 행위자들은 적어도 10배의 가치 상승을 보았지만, 천문학적 가치 상승에는 항상 잡음과 회의론이 있었습니다.
지난 6개월 동안 암호화폐의 가치가 하락하기 시작하였고 최근 한 두 달 동안에는 급락했습니다. 현재 대부분의 암호화폐는 고점 대비 적어도 75%가 하락하였고, 뒤늦게 투자한 사람과 적들이 그 대가를 지불하고 있을 수 있습니다.
2017년말에 비트코인이 약 20,000 달러로 사상 최고치를 기록하였고, 그 후로 지속적으로 하락하여 4,000 달러 미만이 되었는데 이는 2017년 12월의 고점 대비 75% 이상 하락한 것입니다.
모네로(Monero)도 규모는 작지만 비슷한 길을 걷고 있습니다. 2018년 초에 모네로의 가격은 코인당 가격 470 달러로 사상 최고점을 기록하였고, 2018년에는 지속적으로 하락하였습니다. 그 가치가 현재 코인당 55달러 미만으로 하락하여 일년도 안되어 가치가 86% 급락하였습니다.
지난 한 해 동안 지속적으로 하락하였지만 지난 달은 특히 최악이었습니다. 비트코인과 모네로 모두 지난 360일 동안 대규모 가치하락이 발생하였고 그 영향은 엄청납니다. 전월에 비트코인의 가치는 무려 40% 하락하였는데, 이보다 더 심한 것은 지난 30일 동안 50%의 가치가 폭락한 모네로 밖에 없습니다.
최근의 가격 붕괴에도 불구하고 암호화폐는 지속될 것이며 당분간 위협 환경에서 계속 영향을 발휘할 것이 분명합니다. 랜섬웨어 등의 결제수단으로 암호화폐를 사용하는 적들의 경우 큰 영향을 받지 않으며, 가치 하락을 보충하기 위해 요구하는 코인의 수량을 늘리면 됩니다.
마이닝의 미래
모든 데이터를 설명했으므로 이제는 실질적 질문이 남았습니다. 이 상황이 마이닝의 미래에는 어떤 의미가 있을까요?
솔직한 답변은 ‘우리는 모릅니다’이지만 추측할 여지는 많이 있습니다. 첫 번째로 인식해야 할 것은 암호화폐 마이닝이 위협 환경에서 큰 부분을 차지하고 있고 앞으로도 지속되겠지만, 문제는 그 장소입니다. 능동적 악용과 무차별 대입공격 등을 수행하는 위협 그룹이 변화를 도모하기 위해 필요한 도구와 방법은 암호화폐 마이닝, RAT, 뱅킹 트로이목마 등의 위협을 사용하여 평범한 사용자들을 손상시키려는 사람들과는 크게 다를 것입니다. 따라서 각 환경에 대한 전망은 많이 다릅니다.
능동적 악용과 무차별 대입공격에 초점을 맞춘 그룹들은 모두 마이닝에 집중하고 있으며, 이 페이로드에서 철수하려면 일부 추가적인 힘이 필요할 것인데 그 주된 이유는 이미 약정한 리소스 때문입니다. 분산형 서비스 거부 공격, 스팸 봇넷 등에서 크립토마니닝으로 전환하려면 시간과 노력이 필요합니다. 해당 적들 중 다수는 전환하여 마이닝에 집중하기 위해 시간과 노력을 투입하였습니다. 통화 가치의 하락 때문에 그들이 물러서지는 않을 것입니다.
또한 그것은 위험과 기회에 관한 문제입니다. 악성 암호화폐 마이닝 캠페인을 수행하는 것은, 명령과 통제, 피해자와의 상호작용 및 지속적 통신이 요구되는 랜섬웨어와 같이 일부 시끄러운 위협 방식과 비교할 때 보안팀이나 법집행 당국의 관심을 끌 가능성이 훨씬 적습니다. 한편, 악성 마이닝은 시스템당 수입 잠재력이 제한적이긴 하지만 다소 안정적인 수익 창출이 가능합니다. 어쨌든 돈은 돈이며, 대규모로 운영하고 모든 리소스를 훔친다면 주된 이익이 됩니다.
결론
악성 암호화폐 마이닝은 2018년의 위협 환경에서 중요한 부분을 차지하고 있으며 2019년 이후에도 계속 중요한 역할을 수행할 것으로 보입니다. 최근의 암호화폐 가격 폭락에도 불구하고 많은 상황에서 여전히 수익성이 있습니다. 그렇다고 해서 가격 폭락의 영향이 없음을 의미하는 것은 아니며, 스팸의 규모에 영향을 준다는 것을 파악하였습니다.
데이터를 살펴보면, 이 활동이 지난 6개월 동안 꾸준히 지속되어 왔고 다음 6개월 동안에 큰 변화의 가능성은 있지만 적어도 지금까지의 데이터에는 그 변화가 없습니다. 마이닝의 존속 방식에서 시간이 진정한 변수가 될 것입니다. 시간이 주어진다면 적들이 보다 매력적인 목표를 찾을 수 있겠지만, 현재로서는 최소의 위험으로 안전적인 수입을 창출하고 손상된 시스템에 대한 원격 액세스가 필요 없는 옵션은 그다지 많지 않습니다. 아마도 마이닝이 유지되는 가장 큰 이유는 수익성이 있기 때문일 것입니다. 손쉬운 방법이기 때문에 돈을 벌려는 모든 사람들이 여기에 끌리는 것입니다.
실질적 문제는 ‘다음은 무엇인가?’입니다. 지금 기업들이 대비해야 할 위협은 무엇일까요? 이익창출 방법이 계속 변하고 진화함에 따라 유연한 모듈식 멀웨어로 앞으로의 방향이 정해질 가능성이 있습니다. 금전적 이익을 추구하는 적들의 경우 현재 다운로더가 수행하는 방식처럼 종단 시스템의 프로필을 작성하면 가장 많은 수익을 창출할 준비가 됩니다. 게이밍 시스템이나 하이엔드 서버를 훼손시킬 경우 채굴기와 같은 위협이 가장 적합할 수 있습니다. 하지만 미국에 있는 하이엔드 랩톱을 훼손시킬 경우 랜섬웨어가 가장 좋은 방법이 될 수 있고, 그것이 기업 도메인의 일부라면 단순히 액세스로 돈을 버는 방식을 선호할 수도 있습니다. 또는 개발도상 국가의 일반 컴퓨터를 훼손시킬 경우, 간단한 봇(bot)이 행위자의 악의적 의도를 전파하거나 추가된 익명성 계층으로 다른 시스템이나 컴퓨터를 공격하기 위한 기반을 제공하는 최선의 방법이 될 수 있습니다.
어쨌든 적들이 이러한 유형의 유연성을 원하는 이유는 명확합니다. 시스템 속도가 더 빨라지고 훼손된 시스템으로 돈을 벌 수 있는 방법이 지속적으로 증가함에 따라 모듈식 멀웨어의 인기가 높아질 것입니다.
작성자: 닉 비아시니(Nick Biasini)
Tags:
