내 컴퓨터가 코인 채굴용으로 납치된다? 크립토 재킹

이상우 lswoo@itdonga.com

[IT동아 이상우 기자] 한국인터넷진흥원이 발표한 2018년 상반기 '악성코드 은닉사이트 탐지 동향 보고서'에 따르면 지난 몇 년간 성행했던 랜섬웨어의 비중은 줄어든 반면, 다운로더나 가상화폐(암호화폐) 채굴을 위한 악성코드 유포는 늘어났다.

최근 암호화폐의 금전적 가치가 상승함에 따라 기존의 랜섬웨어 등을 통해 금전을 요구하는 방식 대신, 암호화폐를 노리는 해커가 늘어나고 있다. 이러한 공격의 경우 거래소를 해킹하거나 사용자의 암호화폐 지갑을 직접 노리는 경우가 있는 한편, 사용자의 컴퓨터를 암호화폐 채굴기로 사용하는 '크립토 재킹'이 있다.

비트코인 등 암호화폐의 가치가 높아지면서 이를 노리는 해커의 공격도
늘어났다
비트코인 등 암호화폐의 가치가 높아지면서 이를 노리는 해커의 공격도 늘어났다

크립토 재킹이란 암호화폐를 뜻하는 크립토커런시(Crypto)와 납치라는 뜻의 하이재킹(jacking)의 합성어로, 해커가 사용자의 컴퓨에 악성코드를 심어 CPU나 GPU 등의 자원을 가상화폐 채굴에 사용하는 것을 말한다. 기본적으로 이러한 악성코드를 심는 방법은 이메일을 통한 피싱이나 웹 페이지를 통한 스크립트 실행 혹은 파일 설치 등 기존에 흔히 알려진 방법을 사용한다. 이 때문에 암호화폐를 직접 노리는 공격보다 해커가 쉽게 사용할 수 있는 만큼, 이러한 형태의 공격이 늘어나고 있는 추세다.

실제로 시만텍이 발표한 2017년 인터넷 보안위협 보고서(ISTR)에 따르면 전세계에서 크립토 재킹 악성코드는 8,500%나 증가했다(2017년 1월, 2만 건이며 동년 12월에는 170만 건으로 증가).

뿐만 아니라 이러한 크립토 재킹은 악성코드를 설치하는방법 뿐만 아니라 웹 페이지의 스크립트를 추가해, 해당 페이지를 열어놓는 동안 사용자의 PC 자원을 훔쳐 사용하는 방식도 있다. 이러한 방식의 경우 유명 커뮤니티 사이트나 광고 서버 등을 해킹하는 방식이 쓰인다. 이 경우 악의적인 목적으로 몰래 스크립트를 심을 수도 있지만, 동영상 등의 콘텐츠를 무료로 제공하는 대신 해당 페이지를 열어 스크립트를 실행하는 경우도 있다.

자바 스크립트를 이용한 코인 채굴이 차단된
모습
자바 스크립트를 이용한 코인 채굴이 차단된 모습

이러한 크립토 재킹은 CPU나 GPU, 네트워크 등 사용자 컴퓨터 자원을 사용하는 만큼, 사용자 컴퓨터에 무리를 주며, 소프트웨어 실행 속도 등 전반적인 사용 성능을 저하시킨다. 시만텍은 향후에는 개인용 컴퓨터뿐만 아니라 인터넷에 연결할 수 있는 사물 인터넷 기기는 물론, 강력한 성능을 갖춘 기업용 서버 역시 크립토 재킹의 공격 대상이 될 것으로 내다봤다.

PC뿐만 아니라 스마트폰 역시 이러한 가상화폐 채굴용 기계로 악용될 수 있다. 예를 들어 해커는 안드로이드 인기 유료 앱에 가상화폐 채굴 코드를 넣은 후, 비공식 경로를 통해 앱을 무료로 배포할 수 있다. 사용자가 공식 앱 장터가 아닌, 불법으로 공유된 apk 파일을 설치할 경우 이러한 크립토 재킹에 당하기 쉬우며, 앱 실행 시 정상 작동하는 것처럼 보이지만 백그라운드에서는 채굴 행위를 지속하게 된다. 스마트폰의 CPU나 메모리 등이 이러한 작업에 할당되는 만큼, 당연히 스마트폰의 성능 역시 저하된다. 이러한 악성 앱은 더 지능적으로 발전해 충전 중일 때만 작동하거나, 설치 시 와이파이를 강제로 켜게 만들어 LTE 등 모바일 데이터 사용을 최소화하며 위장하는 경우도 있다.

PC뿐만 아니라 스마트폰 역시 해커의 공격
대상이다
PC뿐만 아니라 스마트폰 역시 해커의 공격 대상이다

그렇다면 우리는 이러한 공격에 대해 어떤 대응을 해야 할까? 언제나 강조하는 것이지만, 해커의 공격을 피하는 기본 대응은 의심스러운 사이트에 방문하거나 알 수 없는 파일을 실행하지 않는 것이다. 많은 사용자가 불법 공유된 콘텐츠나 소프트웨어를 찾기 위해 각종 유포 사이트 등에 접속하거나 파일을 내려 받는다. 해커에게 이런 사용자는 좋은 공격 대상이다. 따라서 이처럼 위험한 사이트에 접속하거나 파일을 내려받아 실행하는 것은 피해야 한다. 마찬가지로 모르는 사람이 보낸 이메일의 링크나 첨부파일을 열어보는 것을 피해야 한다.

안티 바이러스 등의 소프트웨어를 설치하는 것도 좋은 방법이다. V3라이트, 네이버 백신, 어베스트, 알약 등 무료로 사용할 수 있는 제품이라 할지라도 이미 알려진 악성코드에 대해서는 완벽하게 차단 가능하며, 이상 행동을 하는 웹 페이지의 스크립트도 대부분 탐지할 수 있다. 여유가 있다면 유료 제품을 사용하는 것이 좋다. 이러한 제품을 설치한 후에는 반드시 실시간 감지 기능을 켜야 하며, 자동 업데이트 기능을 켜서 바이러스 정의 데이터베이스를 항상 최신화해야 한다.

운영체제 업데이트나 주로 사용하는 소프트웨어 업데이트도 항상 업데이트 해서 최신 버전으로 유지하는 것이 좋다. 이러한 업데이트에는 취약점 등을 보완하고, 새로운 해킹 위협으로부터 보호할 수 있는 내용이 포함돼 있기 때문이다.

스마트폰의 경우도 마찬가지다. 애플리케이션을 설치할 때는 공식 앱 장터를 이용해야 하며, apk 파일을 통해 직접 설치하는 것을 지양해야 한다. 특히 이러한 방식은 '몸캠 피싱' 등에도 자주 쓰이기 때문에, 평소 스마트폰 설정에서 '출처를 알 수 없는 앱 설치' 항목을 비활성화 하는 것이 좋다.

사실 공식 앱 장터를 통해서도 크립토 재킹 코드가 심어진 앱이 유포될 수 있다. 이는 개발자가 앱을 처음 개발할 때부터 채굴을 목적으로 앱을 제작한 경우로, 흔한 사례는 아니다. 하지만 이런 상황에 대비하기 위해서, 앱 설치 시 지나치게 많은 권한을 요구하거나 앱과 관련 없는 권한을 요구할 경우 이를 설치하지 않아야 한다. 뿐만 아니라 사용자는 PC와 마찬가지로 스마트폰에도 안티 바이러스 제품을 설치해야 하며, 유난히 메모리를 많이 점유하거나 배터리 소모량이 많은 앱은 삭제하는 것이 좋다.

글 / IT동아 이상우(lswoo@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.