[테크M = 강진규 기자)] 암호화폐 가치가 높아지면서 악성코드 등을 이용해 암호화폐를 채굴하는 '크립토재킹(Cryptojacking)' 공격이 지난해 폭증한 것으로 분석됐다. 올해에는 개인용 PC를 활용했던 크립토재킹이 기업용 PC와 서버로 확대될 것으로 우려된다.

글로벌 보안 기업 시만텍코리아는 3일 기자간담회를 열고 2017년 주요 사이버 범죄 및 보안 위협 동향에 대한 분석을 담은 ‘인터넷 보안 위협 보고서(ISTR) 제 23호’를 발표했다. ISTR 23호는 2017년 1월 1일부터 12월 31일까지 시만텍이 수집한 보안위협 동향 등을 빅데이터로 분석한 결과에 기반한다.

윤광택 시만텍코리아 최고기술책임자(CTO)는 “그동안 기승을 부린 랜섬웨어가 조정 국면에 들어간 것으로 보이는 반면 암호화폐 가격 상승으로 공격자들의 암호화폐에 대한 관심도 함께 상승했다”고 설명했다.

 그는 “특정 암호화폐는 채굴을 통해서도 수집할 수 있다. PC를 악성코드에 감염시키거나 인터넷에 악성 스크립트(웹소스코드) 등을 넣는 방식으로 사용자의 컴퓨터를 채굴에 활용하는 크립토재킹이 증가하고 있다”고 말했다. 시만텍 보고서에 따르면 엔드포인트(사용자) 컴퓨터에서 암호화폐 채굴 악성코드를 탐지한 건수가 2017년 1월 약 2만 건에서 12월 약 170만 건으로 8500% 증가했다. 

윤광택 CTO는 “그중 대표적인 것이 모네로라고 이야기한다”며 “모네로는 소유자를 알 수 없었다는 점이 특징”이라고 지적했다. 시만텍은 2017년 1월 모네로 가격이 12달러였지만 암호화폐 채굴 공격이 85배 증가한 12월에는 321달러로 상승했다고 분석했다.

시만텍은 암호화폐 채굴 악성코드에 PC가 감염됐을 때 프로그램 시작 시간이 평소보다 5~10배 이상 늘어난다고 지적했다. 그만큼 사용자들이 불편을 겪게 된다는 것이다.

시만텍은 악성코드를 활용한 것 뿐 아니라 악성 스크립트를 넣는 방식으로 사이트 접속자의 전산자원을 암호화폐 채굴에 활용하는 사례도 있다고 설명했다. 시만텍이 2017년 12월 800만건의 암호화폐 채굴 관련 악성 스크립트를 차단했다는 것이다. 이는 지난해 12월 전체 웹공격의 24%를 차지했다.

시만텍은 올해 암호화폐 채굴 공격이 여전히 기승을 부릴 것으로 예측했다. 공격 대상이 개인에서 기업으로 확대될 것이라는 지적이다. 윤광택 CTO는 “일반 사용자 컴퓨팅 환경보다 기업 환경이 좋다. 기업에서는 많은 서버를 갖고 있다. 공격자들은 기업 컴퓨터, 서버를 암호화폐 채굴에 활용하기 위해 공격할 것으로 예상한다”고 설명했다.

그는 또 “악성코드 감염 PC와 기기로 구성된 봇넷으로 동시에 2만대를 사용할 수 있다면 공격자는 2만대를 채굴에 활용할 수도 있을 것”이라고 지적했다.

또 시만텍 보고서는 소프트웨어(SW) 공급망(Supply Chain)을 이용한 악성코드 유포도 증가하고 있다고 밝혔다. 시만텍에 따르면 SW 공급망을 해킹한 뒤 자동 업데이트를 악용해 악성코드를 유포하는 사이버공격이 2017년 12건으로 2016년 4건 대비 증가했다. 매달 1건의 공격이 발생한 셈이다.

범죄자는 공인된 SW의 업데이트를 하이재킹함으로써 업데이트를 실행하는 사용자의 시스템 및 네트워크를 2차 공격한다. 시만텍은 공급망 공격의 대표적인 사례가 2017년 발생한 페트야/낫페트야(Petya/NotPetya) 악성코드라고 지적했다. 페트야는 우크라이나 회계 SW를 진입 경로로 이용해 다양한 방법으로 기업 네트워크 전반에 악성코드를 유포한 바 있다. 

시만텍 보고서는 랜섬웨어에 대해 일상적인 악성코드가 되고 있다고 분석했다. 시만텍은 2015년 랜섬웨어 공격자의 평균 금전 요구액이 294달러에서 2016년 1071달러로 급증했다가 다시 522달러로 낮아졌다. 시만텍은 특정 타겟이 아니라 일반 타겟을 대상으로 하면서 요구 금액이 낮아진 것으로 보고 있다. 

[테크M = 강진규 기자(viper@techm.kr)]