시스코 코리아 블로그

크립토마이닝, 암호화폐 채굴: 양인가 늑대인가?

1 min read



사이버 위협자들의 가장 큰 목적은 금전적인 이득입니다. DDoS 공격을 하는 봇넷 소유자, 포스(POS) 기기를 통해 신용카드 번호를 빼돌리는 트로이 목마 바이러스 등 우리가 볼 수 있는 대부분의 사이버 위협 관련 행동은 결국 돈이 목적입니다.

지난 2018년을 돌아볼 때, 이와 관련된 가장 두드러진 위협은 악의적인 크립토마이닝(암호화폐 채굴)이었습니다. 크립토마이닝은 시스코 탈로스 위협 인텔리전스가 지속적으로 연구하고 있는 주제입니다. 공격자들에게 크립토마이닝은 거의 완전 범죄에 가깝습니다. 뒤로 숨어 있어 공격 타겟과의 직접적인 상호작용 없이도 큰 수익을 올릴 수 있기 때문이죠.

이러한 위협 요소에 대해 자세히 알아보기 전에 먼저 암호화폐와 크립토마이닝에 대해 살펴보겠습니다.

암호화폐란 무엇인가요?

암호화폐란 국가에서 운영하는 중앙 금융 시스템과 무관하게 별도로 통용되는 디지털 통화입니다. 암호화폐는 약 10년 전 비트코인이 출현하면서 나타났고, 현재 암호화폐 시장에는 수천 종의 디지털 통화가 존재합니다.

암호화폐가 유명해진 이유는 블록체인 기술 덕분입니다. 퍼블릭 디지털 원장은 암호화폐의 존재와 거래 내역을 확인하는 데 사용됩니다. 블록체인의 암호화와 분산 특성 덕분에 거래의 수정이나 변경이 어렵기 때문에, 암호화폐로 안전한 거래가 가능하다는 것이 가장 큰 장점입니다.

그렇다면 크립토마이닝은 무엇인가요?

코인 채굴, 암호화폐 채굴, 혹은 간단하게 크립토마이닝이라 부르는 이 활동은 새로운 암호화폐가 생성되거나 획득되는 과정입니다. 암호화폐의 종류마다 다소 차이는 있지만, 채굴은 블록체인 상에서 거래의 유효성을 검증하는 프로세스입니다. 이런 프로세스를 수행하는 사람들은 자신의 소유한 컴퓨팅 자원을 사용하는 것이기 때문에 보수가 주어집니다. 즉, 블록체인과 거래 원장의 유효성을 확인하는데 도움을 주면 암호화폐를 획득할 수 있는 것입니다.

크립토마이닝이 그렇게 나쁜 건가요?

본질적으로는 암호화폐나 크립토마이닝이 나쁜 것이 아닙니다. 선의를 가지고 암호화폐를 사용하고 크립토마이닝에 참여하는 사람들도 많이 있습니다. 여기 일상적인 크립토마이닝과 악의적인 크립토마이닝을 구분할 수 있는 핵심 포인트가 하나 있습니다. 바로 컴퓨팅 자원을 소유한 사람의 동의를 받았는지 여부입니다.

소유자가 스스로 설치한 크립토마이닝 소프트웨어와 악의적 사용자가 설치한 크립토마이닝 소프트웨어는 본질적으로 큰 차이가 없습니다. 사실 대부분의 경우, 동일하다고 간주할 수 있습니다. 그러나 가장 큰 차이점은 소유자가 소프트웨어의 실행 여부를 인지하느냐 여부입니다. 만일 소프트웨어가 소유자기 알지 못한 상태에서 실행된다면 매우 우려할 만한 상황이 되는 것입니다.

악의적인 크립토마이닝이 주목은 받게 된 이유는?

악의적인 크립토마이닝 등장 이전에는 랜섬웨어가 기업을 상대로 한 악의적인 돈벌이 수단이었습니다. 그러나 시간이 지나며 사용자들은 컴퓨터 잠금 멀웨어에 현명하게 대처하기 시작했고, 기업들도 랜섬웨어의 위협에 철저히 대응하면서 공격자들은 다른 곳으로 눈을 돌리기 시작했습니다.

악의적인 크립토마이닝은 랜섬웨어와 달리 공격자들에게 몇 가지 장점이 있습니다. 랜섬웨어의 경우, 감염된 기기의 소유자가 돈을 지불한다는 보장이 전혀 없었습니다. 정기적인 백업으로 미리 대비하거나, 감염된 기기에 저장된 내용은 전혀 신경 쓰지 않아도 되는 경우도 있었기 때문입니다. 두 경우 모두 기기를 초기화하면 문제가 해결됐습니다.

게다가 전 세계의 법 집행 기관들이 랜섬웨어 공격을 단속하기 시작했습니다. 랜섬웨어와 관련 범죄자의 체포가 증가하자, 다수의 공격자들은 악의적인 크립토마이닝 소프트웨어를 활용하는 것이 위험성이 적다고 생각했습니다.

지난 몇 년간, 특히 2018년 상반기 동안 암호화폐의 가치는 급증했습니다. 소프트웨어와 관련된 것이 가치를 가지게 되면서, 악의적 행위자들은 악의적인 크립토마이닝을 주목을 하기 시작했습니다. 특히 랜섬웨어의 효과가 하락하기 시작한 시점과 맞물려서 말이죠.

악의적인 크립토마이닝이 성장할 수 있었던 또 다른 이유가 있습니다. 그 중 하나는 크립토마이닝의 위협이 애매하게 느껴진다는 점입니다. 위에서 합법적인 크립토마이닝과 악의적인 크립토마이닝의 차이가 크지 않다고 설명했는데요, 악의적인 크립토마이닝의 희생양이 된 많은 사람들은 놀랍게도 그들의 시스템에서 다른 위협을 발견했을 경우만큼 우려를 표하지 않는다고 합니다. 단순히 뒷전에서 코인을 채굴하는 것일 뿐 본질적으로 악의를 가지고 하는 행동이 아니라면, 걱정할 필요가 있냐고 생각하는 것이지요.

악의적 공격자들에게 크립토마이닝은 확실히 매력이 있습니다. 결과적으로 아무 방해도 받지 않고 이익을 취할 수 있기 때문입니다.

양의 탈을 쓴 늑대도 결국엔 늑대다

보다 깊이 생각해보면 악의적인 크립토마이닝에 대해 우려할 만한 부분이 많습니다.

 

컴퓨터에서 실행되는 소프트웨어처럼 크립토마이닝 소프트웨어도 컴퓨팅 자원이 필요한데요, 너무 많은 컴퓨팅 자원을 사용하는 소프트웨어는 시스템의 전반적인 성능에 부정적 영향을 줄 수 있습니다. 뿐만 아니라 추가적인 컴퓨팅 자원을 사용하기 위해서는 전력도 추가적으로 필요합니다. 하나의 시스템이라면 추가 비용이 크지 않을 지 몰라도, 조직의 엔드포인트의 수만큼 곱한 전체 비용을 생각한다면, 전력 관련 비용이 눈에 띄게 상승하게 됩니다.

게다가 악의적인 암호화폐 채굴자가 기업의 네트워크를 통해 수익을 올리는 것은 기업의 준법감시 측면에서 보면 문제가 있습니다. 특히 금융 부문에서라면 더 심각합니다. 기업의 자원을 사용하여 창출되는 수익에 엄격한 규칙을 적용할 수 있다면 문제의 소지가 있습니다. 담당자들이 이를 인지하고 있는지 관계없이 말이죠.

그러나 네트워크를 관리하는 사람들에게 가장 걱정스러운 부분은, 악의적인 크립토마이닝 감염이 네트워크 구성이나 전체 보안 정책의 허점을 의미한다는 것입니다. 이러한 허점은 다른 수단을 통해 공격자들에게 쉽게 이용될 수 있습니다. 만약 네트워크에서 크립토마이닝에 감염된 사실이 발견된다면, 그러한 허점을 악용하여 더 많은 악성 행위가 일어나는 것을 막기 쉽지 않을 것입니다.

악의적인 크립토마이닝은 어떻게 기기에 설치되나요?

악의적인 크립토마이닝 소프트웨어를 사용자의 기기에 설치하는 방법은 다양합니다. 하지만 새로운 것은 없습니다. 과거와 마찬가지로 악성 위협을 전파하는 것과 같은 방식을 사용합니다.

  • 엔드포인트 및 서버 기반 애플리케이션의 취약점 악용
  • 봇넷을 이용하여 새로운 기기 혹은 기존에 감염된 기기에 크립토마이닝 소프트웨어 설치
  • 악성 첨부파일이 포함된 이메일 보내기
  • 웹 브라우저에서 크립토마이닝 활동을 허용하는 자바스크립트 활용
  • 크립토마이닝에 이용될 수 있는 브라우저 플러그인을 설치하는 애드웨어(Adware) 위협 활용

위의 내용은 악의적인 크립토마이닝이 기기에 설치되는 일반적인 방법 중 일부일 뿐입니다. 다른 위협들과 마찬가지로, 시스템을 감염시킬 다른 방법이 있다면, 공격자들은 당연히 그 방법을 선택할 것입니다.

악의적인 크립토마이닝을 어떻게 예방할 수 있을까요?

위협의 형태가 무엇이든 간에 보안을 견고히 하는 방법은 악의적인 크립토마이닝을 방지하고 차단하는 것입니다.

  • 악의적인 크립토마이닝을 감지하고 차단하기 위해서는 고급 엔드포인트 보안이 필요하며, 이는 보다 광범위한 방어 전략의 일부가 되어야 합니다.
  • 네트워크 보안 분석 도구를 사용하여, 조직에서 크립토마이닝 활동이 일어날 수 있는 위치를 발견해야 합니다.
  • 원천적으로 크립토마이닝 어플리케이션이 설치되는 것을 방지하려면, 암호화폐 채굴과 관련된 웹사이트에 대한 네트워크 연결을 차단해야 합니다. DNS 레이어 보안은 채굴 거래가 악의적인 행위자에게 다시 전송되는 것을 방지하기 때문에, 크립토마이닝을 방지하는 데 매우 효과적입니다

전반적으로 차세대 방화벽, 엔드포인트, 보안 분석도구, DNS 레이어 보안을 포함한 효과적인 방어선을 구축하여 보안에 대한 다각적인 접근 방식을 구현한다면, 네트워크에서 일어나는 크립토마이닝을 감지하고 예방할 수 있을 것입니다.

현재와 장기적인 전망은 어떻게 되나요?

현재 암호화폐 시장은 엄청난 변동성을 보여주고 있습니다. 암호화폐 가격의 급등과 급락은 우리가 목격해 온 악의적인 크립토마이닝 활동과 궤를 같이 합니다. 시스코가 DNS 레이어에서 목격한 크립토마이닝 관련 트래픽의 전체 양을 한번 살펴보겠습니다. 고점과 저점이 들쑥날쑥하는 시기가 있긴 하지만, 시간이 지날수록 크립토마이닝은 전반적으로 증가 추세임을 알 수 있습니다.

 

흥미로운 것은 같은 기간 동안 유명 암호화폐의 가치가 하락했다는 점입니다. 악의적인 크립토마이닝에 가장 많이 사용되는 코인인 모네로(Monero)를 살펴보겠습니다.

 

 

이렇게 추세가 상충하는 데에는 여러 이유가 있을 것입니다. 어쩌면 단순히 악의적인 공격자들이 꾸준하게 크립토마이닝 소프트웨어를 확산하기 때문일지도 모릅니다. 배포도 쉽고 잡혀도 리스크가 적습니다. 또 사용자들이 인식하지 못하거나 자신의 기기에 설치되어 있는지 개의치 않는다면, 크립토마이닝 소프트웨어가 기기에 더 오랜 시간 실행되어 더욱 많은 돈을 벌 수 있죠.

또는 암호화폐의 가치가 하락하고 있기 때문에 크립토마이닝 활동이 증가하고 있다고도 볼 수 있습니다. 암호화폐의 가치가 지속적으로 떨어지고 “감염 기기 수 대비 수익”이 줄어듦에 따라 기존의 수익 수준을 유지하기 위해서는 더 많은 크립토마이닝 행위가 이루어져야 하기 때문입니다.

 

결론

금전적인 이득은 위협적인 환경에서 악의적인 행위자들의 가장 강력한 동기일 것입니다. 여러가지 측면에서 악의적인 크립토마이닝은 공격자들이 적은 노력으로 빠르게 이득을 취할 수 있는 방법으로 간주될 수 있는 반면, 그 공격 타겟이 되는 대상은 다른 위협에 비해 자신의 기기에 미치는 위협의 영향을 간과하고 있습니다. 이런 현상에도 불구하고 악의적인 크립토마이닝 문제를 통해 발생되는 간접비용은 무시할 수 없는 사항이므로 꼭 해결되어야 하는 문제입니다.

크립토마이닝을 포함한 사이버 공격에서 안전하게 보안을 강화 하시고 싶으시다면 시스코 엄브렐라 솔루션을 무료로 사용해 보세요. 개인용 버전은 기간에 상관없이, 기업용 버전은 14일간 무료로 사용하실 수 있습니다.

댓글 쓰기