보안

암호 화폐 채굴 악성코드를 탐지하고 방지하는 방법

Maria Korolov  | CSO 2018.04.06
암호 화폐 채굴 소프트웨어로 기업 인프라를 감염시키는 크립토재킹(Cryptojacking)에 눈을 돌리는 해커들이 증가하고 있다. 안정적이면서 지속적으로 이익을 챙기기 위해서다. 해커들은 아주 영리하게 악성코드를 숨기고 있다.


Credit: Getty Images Bank

기업들은 주요 데이터의 도난이나, 랜섬웨어 공격으로 인한 데이터 암호화 신호를 찾는 것을 중시한다. 크립토재킹(Cryptojacking)은 훨씬 더 은밀하기 때문에, 기업이 이를 탐지하기 어려울 수 있다. 진짜 피해를 초래하지만, 명백히 드러나지 않는 경우도 있다.

암호 화폐 채굴 소프트웨어가 클라우드 인프라를 감염시키거나, 전기 요금 관련 비용을 상승시키면서 즉시 금전적 피해가 발생할 수 있다. 또한 머신을 정지시키는 경우, 생산성과 성과가 저하된다. 플래시포인트(Flashpoint)의 정보 분석가 칼스 로페즈-페날버는 "암호 화폐 채굴을 목적으로 만들어지지 않은 CPU가 하드웨어에 악영향을 초래할 수 있다. 타버리거나, 속도가 느려진다"고 지적했다.

크립토재킹은 아직 초기 단계다. 지금 이런 종류의 공격의 한 종류를 탐지했다면, 앞으로 4~5 종류를 직면하게 될 전망이다. 로페즈-페날버는 "암호 화폐 채굴자의 공격을 막을 수 있는 도구 가운데 하나는 잘 훈련된 신경망(Neural Network)"이라고 말했다.

현재 보안 공급업체들이 이와 관련된 노력을 기울이고 있다. 머신러닝과 다른 인공지능(AI) 기술을 이용, 알려지지 않은 공격을 포함해 암호 화폐 채굴 공격을 가리키는 신호를 포착하는 노력이다.

네트워크 수준에서 암호 화폐 채굴 공격을 방어
많은 공급업체가 네트워크 수준에서 암호 화폐 채굴 동작을 탐지하는 기술과 기법을 개발하고 있다. SecBI CTO 알렉스 바이스티크는 "현재 엔드포인트 수준에서의 탐지는 아주 어렵다. 모바일 장치, IoT, 노트북 컴퓨터, 데스크톱, 서버 등 종류가 다양하기 때문이다. 또한 의도적인 행위(동작), 의도적이지 않은 행위(동작)가 존재한다. 한 마디로 아주 광범위하다"고 설명했다.

크립토재킹 악성코드는 한 가지 공통점을 갖고 있다. 바이스티크는 "암호 화폐를 채굴하기 위해서는 통신을 하고, 새로운 해시를 받을 수 있어야 한다. 그리고 해시를 계산해, 다시 서버로 보내고, 정확히 지갑에 넣을 수 있어야 한다"고 설명했다.

즉 암호 화폐 채굴을 탐지할 수 있는 가장 좋은 방법은 네트워크에 의심스러운 동작이 있는지 모니터링하는 것이다. 불행히도, 암호 화폐 채굴 트래픽을 다른 종류의 통신과 구별하기 아주 어렵다는 문제가 있다. 메시지가 아주 짧고, 악성코드 개발자는 다양한 기법으로 이를 감춘다.

바이스티크는 "이런 종류의 트래픽을 대상으로 규칙을 수립해 적용하기 아주 어렵다. 이런 이유로 이를 탐지할 수 있는 회사는 소수에 불과하다. 직원 5,000명 이상 회사는 대부분 이미 데이터를 갖고 있다. 그러나 수 많은 데이터를 조사하기 아주 어렵다는 것이 유일한 문제다"고 말했다.

SecBI의 자율 조사(Autonomous Investigation) 기술은 머신러닝으로 기업 네트워크를 통과하는 수많은 데이터에서 의심스러운 패턴을 파악하는 방법으로 이 문제를 다룬다. SecBI는 수만 요소들을 조사한다. 예를 들면, 악성코드 개발자가 간격을 임의화하는 등 통신의 '주기성'을 감추는 시도를 하지만, 그래도 암호 화폐 채굴은 주기적인 트래픽이 특징이다.

또 메시지 길이가 특이하다. 유입 트래픽(해시)은 짧다. 반면 유출 트래픽은 조금 더 길다. 일반 인터넷 트래픽과 비교했을 때, 최초 요청은 짧고 응답은 길다. 바이스티크는 "비트코인 채굴의 경우, 다운로드보다 업로드가 조금 더 많다. 이런 패턴을 찾는다"고 설명했다. 아마존 같은 퍼블릭 클라우드 인프라와 온프레미스 네트워크에 모두 적용할 수 있는 기술이다.

트래픽이 암호화된 경우에도(현재 전체 네트워크 트래픽 가운데 60%가 암호화), 통신의 '주기성'과 메시지 길이, 기타 신호들을 결합해 감염 여부를 파악한다. SecBI의 플랫폼은 암호 화폐 채굴 소프트웨어가 처음 등장했을 때, 이것이 채굴 소프트웨어인지 몰랐지만 악성 위험이 있는 것으로 분류했다. 바이스티크는 "지금은 우리 사용자들이 암호 화폐 채굴인 것을 확인한 상태다. 따라서 소프트웨어가 이를 정확히 분류하고 있다"고 설명했다.

SecBI 시스템은 지난 몇 개월 간 크립토재킹을 탐지해 정확히 분류하고, 더 나아가 즉시 조치를 취하는 방법을 학습했다. 바이스티크는 "예를 들면, 자동으로 방화벽에 새로운 규칙을 배포해 이런 트래픽을 고립시켜 차단할 수 있다"고 설명했다.

자동 대응을 선택하지 않는 경우도 있을 것이다. 예를 들면, 적법한 웹사이트가 하이재킹 당할 수 있다. 그는 "우리 기술은 머신 '리이미징(reimaging)'과 도착지 차단 등 가장 좋은 해결책을 추천하는 기능을 갖고 있다. 고객이 특정 상황에 가장 적합한 대응책을 선택할 수 있다"고 강조했다.

다크트레이스(Darktrace) 또한 네트워크 트래픽을 분석해 암호 화폐 채굴 동작을 탐지하는 기업 면역 시스템(Enterprise Immune System) 기술을 개발했다. 다크트레이스의 사이버 인텔리전스 및 분석 책임자인 저스틴 피어는 "우리 기술은 네트워크 수준에서 '이상' 패턴을 탐지한다. 또 모든 컴퓨터에서 작은 '이상' 패턴을 포착할 수 있다. XYZ라는 작업에 사용되는 컴퓨터가 갑자기 다른 작업에 동원된 경우라면, 이를 쉽게 포착할 수 있다. 여러 컴퓨터에서 이런 일이 일어나면, 더 쉽게 포착할 수 있다"고 설명했다.

컴퓨터만 취약한 것이 아니다. 피어는 "모든 컴퓨팅 관련 장치를 이 목적에 사용할 수 있다. 인터넷에 연결된 IP 주소를 갖고 있는 장치가 무수히 많다. 이런 장치들을 연결해 슈퍼컴퓨터를 만들어 암호 화폐를 채굴할 수 있다. 온도 조절기 1개로는 암호 화폐를 채굴할 수 없다. 그러나 수많은 온도 조절기를 통합해 거대한 '채굴 풀(mining pool)'을 만들어 암호 화폐를 채굴할 수 있다"고 말했다.

단 하나로는 큰 영향이 없지만, 여럿을 통합하면 암호 화폐를 채굴할 수 있는 또 다른 플랫폼이 있다. 코인하이브(Coinhive) 같은 브라우저 기반 암호 화폐 채굴 플랫폼이 여기에 해당된다. 이 암호 화폐 채굴 도구는 자바스크립트(JavaScript) 기반이다. 감염된 웹사이트, 또는 소유주가 고의로 방문자의 머신을 하이재킹 해 이득을 챙기려 만든 웹사이트에서 실행된다.

피어는 "컴퓨터 한두 대는 큰 문제가 되지 않는다. 그러나 수많은 컴퓨터가 악용되면 기업의 리소스와 대역폭에 영향이 초래되기 시작한다. 여러 다양한 법과 규정 때문에 어떤 경우에도 암호 화폐 채굴을 할 수 없는 기업들도 있을 수 있다"고 말했다.

이런 브라우저 기반 크립토재킹을 원천 봉쇄하는 방법은 자바스크립트를 끄는 것이다. 자바스크립트가 여러 웹에서 적법한 용도로 사용되고 있기 때문에 일종의 편법에 해당되는 방법이다. 배드 패킷 리포트(Bad Packet Report) 보안연구원 트로이 머슈에 따르면, 멀웨어바이츠(Malwareytes)와 ESET, 어베스트(Avast), 카스퍼스키(Kaspersky), 윈도우 디펜더(Windows Defender) 등 일부 바이러스 백신 소프트웨어에는 이런 브라우저 기반 공격 가운데 일부를 저지하는 기능이 탑재되어 있다.

그러나 한계가 있다. 머슈는 "안티바이러스 소프트웨어 업체와 브라우저 업체들은 누가 악성 자바스크립트를 차단하는 책임을 져야 하는지 결정하지 못한 상태"라고 지적했다. 머슈는 네트워크 수준의 탐지가 아주 중요하다고 덧붙였다.

머슈는 "아직까지는 동작만으로 엔드포인트에서 브라우저 기반의 암호 화폐 채굴 크립토재킹을 탐지할 수 있는 안티바이러스 제품은 존재하지 않는다"고 말했다. 더 "표적화"된 접근법은 브라우저 익스텐션을 설치하는 방법이다. 머슈는 마이너블록(minerBlock)을 추천했다.

워치가드 테크놀로지스(WatchGuard Technologies)의 정보 보안 위협 분석가인 마크 라리버트에 따르면, 노우코인(NoCoin)도 코인하이브와 변종 차단 기능이 우수하다. 라리버트는 "그러나 암호 화폐 채굴 악성코드가 적법한 익스텐션을 감염시킨 사례들이 있다"고 경고했다.

워치가드는 SecBI와 다크트레이스처럼 네트워크 수준의 크립토재킹 방어 체계를 제공한다. 라리버트는 "워치가드 방화벽은 프록시 연결을 구성해 트래픽을 조사하고, 암호 화폐 채굴 같은 악성 동작을 탐지할 수 있다. 지난 달 미국의 상위 10대 공격자 가운데 암호 화폐 채굴자가 2명이었다"고 말했다.

워치가드는 알려진 암호 화폐 채굴 풀로 연결되는 동작 등 '적색 신호'를 찾고, 샌드박싱 기술을 사용한다. 라리버트는 "우리는 '양성'과 '악성'을 구분하기 전에 여러 동작(행동)을 조사하기 원한다"고 말했다.

그런데 신호가 점점 더 미묘해지고 있다. 라리버트는 "이런 악성코드는 랜섬웨어처럼 노골적이지 않다. 공격자들이 이런 방향을 추구하기 시작했다. 랜섬웨어처럼 단 한 번 공격을 해서 이득을 챙기는 것보다 지속적으로 이득을 챙기는 것이 낫기 때문이다"고 말했다.

이런 이유로 공격자들은 자신의 악성코드가 '최고 속도로, 그리고 최대의 힘으로' 작동하지 않도록 만든다. 라리버트는 "점점 더 의심스러운 행동과 동작을 한다. 리소스 사용량은 물론 네트워크 트래픽, 기타 감염이나 침해를 알려주는 신호를 조사해야 한다"고 말했다.

스마트한 엔드포인트 수준의 암호 화폐 채굴 방어
크립토재킹을 탐지하는 또 다른 방법은 엔드포인트 보호다. 트립와이어(Tripwire)의 제품 관리 및 전략 부사장 팀 얼린에 따르면, 공격자는 암호화와 비교적 감춰진 통신 채널을 사용해 네트워크 기반 방어체계를 뚫고 침입할 수 있다. 얼린은 "가장 효과적으로 암호 화폐 채굴을 탐지할 수 있는 방법은 엔드포인트를 직접 보호하는 방법이다. 이를 위해서는 효과적으로 시스템의 변경 및 변동 사항을 모니터링 하고, 승인된 변경인지 여부를 확인할 수 있어야 한다"고 말했다.

엔드포인트 보호 체계를 제공하는 크라우드스트라이크(CrowdStrike)의 서비스 책임자인 브라이언 요크에 따르면, 알려진 악성 동작이나 행위를 차단하는 것을 넘어 알려지지 않은 위협을 포착할 수 있을 만큼 엔드포인트 보호 기술이 발전했다. 이는 실행 악성코드에만 국한되지 않는다. 요크는 "공격자들은 현재 스크립트 언어를 사용하고, 컴퓨터에서 적법하게 사용되는 소프트웨어를 불법적인 용도로 악용하고 있다"고 지적했다.

크라우드스트라이크는 직원들의 데스크톱과 같은 기존 엔드포인트 장치는 물론 클라우드 기반 가상 머신에도 적용된다. 요크는 "AWS EC2 인스턴스 같은 클라우드 환경에 암호 화폐 채굴 소프트웨어가 설치되어 있는 사례를 확인했다. 이를 방지할 때에도 유사하게 접근한다. 고유의 특징도 있다. 도달 경로와 방법이 다르다. 이를 이해해야 한다. 이를 파악하기 위해, AWS에서 제공하는 API 로그 데이터를 사용한다. 조사가 조금 더 까다롭다. 그러나 조금 더 흥미롭다는 장점도 있다"고 말했다.

'내부자'의 암호 화폐 채굴 위협
적법한 사용자가 고의로 암호 화폐 채굴 소프트웨어를 설치하는 경우도 있다. 이를 감지하기란 훨씬 더 어렵다. 요크는 "몇 주 전, 회사에 불만이 있는 직원이 이런 일을 한 것을 조사한 사례가 있었다. 그는 회사를 나가려고, 그리고 회사에 대한 분노를 표현하려 환경 전체에 암호 화폐 채굴 소프트웨어를 배포했다"고 말했다.

이를 탐지하기 어려운 이유는 무엇일까? 내부자는 자사가 암호 화폐 채굴 탐지와 확산 방지에 사용하는 방법을 알고 있기 때문이다. 요크는 "해당 직원은 회사에 대해 구글 검색을 하고, 게시된 글 가운데 일부를 읽었다. 우리는 웹 브라우저 히스토리에서 이와 같은 행위를 발견했다. 그는 적극적으로 회사에 방해와 혼란을 초래하려 했다"고 말했다.

회사가 정책으로 직원들의 암호 화폐 채굴 및 관련 소프트웨어 운영을 금지하지 않는 경우에도, 이런 행동이 직원 자신에게 큰 위험을 초래할 수 있다. 익시아(Ixia) 산하 위협 인텔리전스 연구소의 애플리케이션 부문 수석 책임자인 스티브 맥그레고리는 "갑작스레 비용이 상승한 것이 드러나 결국 해고를 당하게 된다. 한 마디로 짧은 생각이다. 그러나 악의적인 의도를 가진 직원이 로그를 통제할 권한을 갖고 있다면 일정 기간 '불법 이득'을 챙길 수도 있다"고 말했다.

맥그레고리는 교육기관이 특히 취약하다고 덧붙였다. 맥그레고리는 "대학들이 도움을 요청하는 경우가 많다. 학생들이 기숙사에 ASIC(암호 채굴) 시스템을 설치하는 바람에 전기 요금이 급상승하는 문제들이 많기 때문이다. 결국 대학이 책임져야 하는 비용이다. 학생들이 불법으로 시스템을 설치해 이용한 것이 아니기 때문이다"고 말했다.

기업의 직원이 이런 일을 할 수도 있다. 그러나 전기 요금을 급상승시킨 '소재지'를 추적하기 쉽지 않다. 맥그레고리는 "직접 돌아 다니면서 '열'이 많이 발생하는 장소를 찾는 방법이 있다"고 말했다.

권한이 있는 내부 직원이 AWS와 애저, 구글 클라우드의 가상 머신에서 이런 일을 한 후, 다른 사람이 눈치채기 전에 중단할 수도 있다. 포어스카우트(ForeScout)의 신기술 담당 부사장인 로버트 맥너트는 "탐지와 파악이 정말 어려워지고 있기 때문에 깊이 생각해야 할 위험이다. 또 큰 이익을 챙길 수 있기 때문에 이런 사례가 점점 더 늘어날 수도 있다"고 말했다.

또한 외부 공격자가 훔친 신원을 이용해 이런 일을 할 수도 있다. 아마존은 GPU 기반의 EC2 인스턴스를 제공하고 있다. 더 효율적으로 암호 화폐를 채굴할 수 있다는 의미다. 이 경우, 기업은 아주 많은 비용과 대가를 지불해야 한다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.