Breaking
사이버 보안(Cybersecurity)
쿠키마이너와 크립토재킹, 전 세계를 위협하다
2019-06-26 18:29:55
유수연
▲맥 사용자들을 노린 크립토재킹 멀웨어가 보고됐다(사진=ⓒ펙셀스)

[라이헨바흐=유수연 기자] 사이버 보안 리서치 회사 비트글래스(Bitglass)는 클라우드 애플리메이션을 감시할 위협이 있는 크립토재킹에 주의하라고 촉구했으며 또 다른 업체인 팰로앨토 네트웍스(Palo Alto Networks)는 맥 유저를 노린 새로운 멀웨어인 쿠키마이너(CookieMiner)에 주의해야 한다고 말했다.

가상화폐(암호화폐) 애널리틱 사무소인 치퍼트레이스(CipherTrace)는 지난 2019년 1월 보고서를 발표했는데, 그 내용에 따르면 2018년에 17억 달러(약 1조 9,300억 원)에 이르는 가상화폐가 도난당했거나 불법적으로 획득됐다고 한다. 그 중 9억 5,000만 달러(약 1조 784억 원) 가량이 가상화폐 교환 과정에서 직접 도난당했다. 이는 2017년보다 3.6배나 높은 수치다.

한편 7억 2,500만 달러(약 8,229억 원) 가량은 가상화폐 폰지사기, 사기성 초기 코인 제공(ICOs) 등으로 손실됐다. 이는치퍼트레이스가 언급한 가상화폐에 대한 위협 상위 10개에 사기 수단이다. 이란과 베네수엘라 등의 국가는 가상화폐 사용을 허용하기도 하면서 국제 사회로부터 강력한 제재를 받았다.

크립토재킹 위협

이처럼 사이버 범죄자들이 중간에 가상화폐를 가로채는 것을 '크립토재킹(Cryptojacking)'이라고 한다. 비트글래스의 CTO 아누라그 카홀은 "특히 클라우드 크립토재킹 멀웨어가 조직을 크게 위협할 것이다. 사이버 범죄자들은 멀웨어를 이용해 장치 및 기타 리소스에서 정기적으로 처리 능력을 훔치고 가상화폐를 마이닝한다"고 말했다.

 

카홀은 이것이 소위 사이버 범죄자들의 트렌드라고 덧붙였다. 또한 이런 범죄는 예를 들어 모네로나 비트코인 같은 특정 화폐의 인기와 가치를 높이는 데 기여했다. 해커들은 취약한 웹사이트를 공격해 가상화폐를 채굴하려 한다.

일반적으로 클라우드 기반 서비스가 해커들의 주요 목표다. 하지만 클라우드 리소스가 유일한 IaaS(서비스 기반 인프라) 플랫폼인 것은 아니다. IaaS 플랫폼은 잠재적으로 무한한 리소스와 익명성을 갖기 때문에 큰 타격을 입기 쉽다. 이런 크립토재킹 추세는 클라우드 재킹에 피기배킹된다.

해커는 시스템에 다른 멀웨어와 함께 소셜 엔지니어링 및 피싱 기술을 사용한다. 그리고 이것을 사용자가 신뢰할 수 있는 시스템처럼 위장한다. 사용자가 이것을 클릭하면 가상화폐 채굴이 시작된다. 이런 공격 방식을 위해 해커들은 피싱 전자 메일을 보내거나 브라우저 부팅 시 자동 실행되는 자바스크립트를 사용해 사이트를 감염시킨다. 그러면 코드가 실행된다.

▲해커는 악성 코드와 함께 소셜 엔지니어링 및 피싱 기술을 사용한다(사진=ⓒ픽사베이)

쿠키마이너

쿠키마이너 멀웨어는 OSX.다스마이너(OSX.DarthMiner)의 진화형이다. OSX.다스마이너는 구글 크롬, 아이튠즈 백업, 아이폰 텍스트 등에서 키 체인 암호를 추출해 맥 사용자를 공격한다. 쿠키마이너 역시 맥 사용자들을 공격한다. 팰로앨토 네트웍스의 조사에 따르면 해커는 훔친 데이터를 모두 결합해 사용자의 다중 계정 인증을 우회한다.

팰로앨토 네트웍스가 발표한 연구에 따르면 이 방식에 성공할 경우 공격자는 피해자의 가상화폐 교환 계좌, 지갑 등에 액세스할 수 있고, 피해자의 돈을 마치 자기 돈처럼 사용할 수 있다.

쿠키마이너 또한 특정 암호 해독 마이닝 기능으로 작용하지만 궁극적으로 전 세계에 배포될 수 있는 크립토재킹 멀웨어 문자열 중 하나일 뿐이다. 물론 쿠키마이너의 이전 버전인 OSX.다스마이너 보다는 정교하다.

팰로앨토 네트웍스의 위협 정보 분석가 알렉스 힌클리프는 "공격자는 여러 가지 자격 증명 정보를 수집하고 조합해 사용자의 시스템에 침투하는 데 사용될 자격 증명을 만들어낸다. 그리고 초기 로그인을 의심받지 않고 시도하기 위해 쿠키를 사용한다"고 설명했다.

 

위협 범위

사실상 크립토재킹은 여러 가지 방법으로 이뤄지기 때문에 기업을 완벽하게 안전하게 보호하기는 어렵다. 가장 일반적인 방법은 앞서 언급한 피싱 및 소셜 엔지니어링이다. 자바스크립트를 이용하는 방식도 마찬가지다. 또 심(SIM) 스와핑도 있다. 이것은 개인의 휴대전화에 들어 있는 심카드를 가로채 개인 정보를 훔치고 그 개인 정보를 이용해 피해자의 휴대전화 번호 등을 완벽하게 제어하는 것이다.

블록체인 분석 회사인 채인애널리시스(Chainalysis)는 최근 연구 결과를 발표했는데, 두 해커 그룹이 현재도 활발하게 활동하며 수십 억 달러의 가상화폐를 훔쳤다고 한다. 치퍼트레이스는 이런 해커 그룹이 또 다른 문제를 만들어낸다고 경고했다. 바로 분산된 스테이블코인이다. 스테이블코인이란 금이나 다이아몬드 같은 실질적인 재산으로 뒷받침되는 가상화폐다. 분산된 스테이블코인이란 다른 가상 화폐로 뒷받침되는 스테이블코인을 말한다.

팰로앨토 네트웍스는 쿠키마이너에 대해 경고하며 "가상 화폐 소유자들은 보안 설정을 강력하게 만들고 자신의 디지털 자산을 계속해서 감시해 유출되는 것이 없도록 해야 한다"고 말했다.

[라이헨바흐=유수연 기자]