"암호화폐 채굴, 교육분야가 가장 영향 받아" 파이어아이 보고서

암호화폐 채굴 관련 사이버 공격 보고서 발표

[이데일리 이재운 기자] 암호화폐(가상화폐) 채굴에 타인의 기기를 도용하는 ‘크립토재킹(cryptojacking)’이 대학 등 교육기관을 목표로 삼고 있다. 대학생들의 채굴 참여가 더해져 교육기관이 고민에 빠졌다.

14일 미국 정보보안 업체 파이어아이가 공개한 암호화폐 채굴자 성장 분석 보고서에 따르면 암호화폐 채굴에 가장 많은 영향을 받은 분야는 교육 분야로 나타났다.

이는 허술한 대학 네트워크의 보안통제와 무료 전기 사용을 통해 암호화폐를 채굴하는 학생들 때문이라고 파이어아이는 분석했다. 대학은 고사양 IT 장비를 보유하고 있으면서도 상대적으로 보안에 대한 투자나 통제정책이 빈약하다. 이 때문에 내·외부에서 암호화폐 채굴에 IT 자원을 이용하려는 시도가 이어지고 있다는 해석이다.

◇해커, 암호화폐 수익성에 주목

블록체인에서 결제가 이뤄질 때, 해당 결제 건은 네트워크를 통해 유효성 검사가 이루어지고 전파돼야 한다. 블록체인 네트워크인 ‘노드(node)’에 연결된 컴퓨터가 네트워크에서 결제에 대한 유효성 검사와 전파를 하면서, 채굴자는 해당 결제를 ‘블록’에 저장해 체인에 걸리도록 한다.

이때 각 블록은 해시(hash) 암호화되며 이전 블록의 해시를 포함해 블록체인의 ‘체인’을 형성한다. 채굴자가 각 유효 블록의 복잡한 해시를 해독하기 위해서는 기기의 전산 자원을 사용해야 하며, 채굴되는 블록이 많아질수록 해시 해독 과정에 필요한 자원도 증가한다.

따라서 채굴 과정을 가속화하기 위해 많은 채굴자는 블록의 해시를 함께 해독하는 컴퓨터 집합 공동체 풀(pool)에 동참하게 되고, 이에 대한 보상으로 암호화폐(토큰)를 지원한다.

최근에는 해킹 공격세력이 다른 이들의 PC 등을 해킹해 채굴에 동원하는 일이 빚어지는 것은 암호화폐 가치가 높아지고 시장이 확대되고 있기 때문이다.

◇추적 여전히 어렵지만..대비 노력 계속해야

파이어아이의 지능형 위협탐지 시스템인 아이사이트 인텔리전스(FireEye iSIGHT Intelligence)는 사이버 공격자 커뮤니티의 관심이 적어도 지난 2009년부터 시작됐다고 분석했다. 또 커뮤니티 내에서 자주 언급되며 공격자가 상당히 관심을 보인 키워드는 채굴자(miner), 크립토나이트(cryptonight), 스트라텀(stratum), XM리그(xmrig) 및 CPU 마이너(cpuminer) 등이었다.

특히 익명성을 보장해 추적이 어려운 암호화폐 ‘모네로’를 중심으로 채굴을 진행하며 법적인 제재를 피해 금전 이득을 얻을 수 있다는 점에 주목하고 있다.

이들은 이윤을 극대화하기 위해 △기존 봇넷과 크립토재킹 모듈의 통합 △드라이브 바이 크립토재킹(Drive-by Cryptojacking) 공격 △크립토재킹 코드를 포함하는 모바일 앱 사용 △스팸 또는 자전(self-propagating) 도구를 통한 크립토재킹 유틸리티 배포 등 다양한 기술을 사용해 채굴기를 분산한다.

공격 대상은 모바일 기기와 PC 등 엔드포인트 기기, 기업 서버, 웹사이트, 산업제어시스템(ICS) 등 종류를 가리지 않는다. 이중 모바일 기기의 경우 지속적인 전력 소비로 인해 기기가 손상되고 배터리 수명이 크게 단축되는 피해로 이어진다는 분석이다.

이 밖에 공격자들은 사기(스캠)를 통해 암호화폐 채굴 악성코드를 배포하고, 보안 솔루션의 탐지를 피하기 위해 프록시를 이용하는 수법도 확인됐다.

파이어아이는 보고서에서 “크립토재킹에 대한 공격자의 관심 증가는 암호화폐 채굴 공격을 시도의 지속적인 상승 추이를 보여준다”며 “파이어아이는 이러한 상승 추세가 2018년 내내 지속될 것으로 전망한다”고 밝혔다.

이어 “모네로 암호화폐와 전자 지갑의 익명성, 수많은 암호화폐 교환과 텀블러 때문에 당국이 악성 암호화폐 채굴의 출처를 밝히기가 매우 어렵다. 게다가 이러한 공격 활동 뒤에 숨은 악성 공격자는 일반적으로 신원이 밝혀지지 않는다”며 “사이버 공격자들은 암호화폐 채굴이 수익성이 있고, 상대적으로 리스크가 계속 낮은 한 지속적으로 높은 관심을 보일 것”이라고 덧붙였다.