Issue
올해 7월부터 가상화폐 마이닝 프로그램 이용한 범죄 기승
사용자 PC에 상주해 채굴하거나 웹사이트 혹은 사이트 배너에 숨겨 몰래 채굴
비트코인이 연일 상한가를 치고 다른 가상(암호)화폐 역시 가치가 가파르게 상승하면서 전 세계는 지금 가상화폐 열풍에 휩싸였다 해도 과언이 아니다. 문제는 이러한 가상화폐의 가치가 상승하면서 관련 범죄도 함께 증가하고 있다는 사실이다. 특히, 최근에는 비트코인을 채굴하는 ‘마이닝 프로그램’, 즉 마이너를 악성코드처럼 사람들의 PC에 숨겨두고 채굴하도록 한 뒤 수익을 올리는 범죄가 기승을 부리고 있다.
비트코인 등 가상화폐를 얻는 방법은 가상화폐 거래소에서 구입하는 방법도 있지만, 직접 시스템을 갖춰놓고 이른바 ‘채굴(마이닝: Mining)’하는 방법도 있다. 채굴용 PC는 암호화된 데이터를 풀기 위해 CPU보다 GPU(Graphic Processing Unit), 즉 그래픽카드(Graphic Card)의 역할이 더 중요하기 때문에 가상화폐 채굴 붐이 불면서 전 세계에 그래픽카드 값이 몇 배로뛰어올랐을 정도다.
문제는 어느 정도 수익을 올릴 정도로 채굴하려면 1~2대의 PC로는 어렵고, 시스템을 운영하기 위한 전기세도 가정용 전기로는 감당하기 어렵다는 점이다. 이 때문에 자금 동원이 가능한 사람들은 수십, 수백 대의 시스템을 갖춰놓고 채굴장을 만들어 운영하는 경우도 있고, PC방에서 업종을 변경해 채굴방으로 운영하는 사례도 종종 있다. 심지어 PC방의 채굴을 지원하기 위한 솔루션이 시장에 등장하기도 했다.
이처럼 개인용 PC와 가정용 전기로 가상화폐 채굴이 어렵게 되자, 다른 사람의 PC에 채굴 프로그램을 몰래 설치하고 채굴된 가상화폐는 자신의 전자지갑으로 전송하는 범죄가 등장하기 시작했다. 즉, 다른 사람의 PC 자원을 이용해 ‘가상의’ 대규모 채굴장을 만드는 셈이다.
사실 이러한 범죄는 하루 이틀 일은 아니다. 이미 해외에서는 이러한 범죄가 여러 건 벌어졌으며, 이를 ‘크립토재킹(Cryptojacking)’이라고 부르고 있다. 크립토재킹은 프로그램의 취약점을 이용해 채굴 프로그램을 몰래 PC에 설치한 후 작업하는 방법과 함께 웹 브라우저나 브라우저 광고에 자바스크립트를 심어 채굴하도록 하는 방법을 주로 사용한다.
크립토재킹은 지난 7월 러시아 푸틴 대통령의 인터넷 담당 보좌관이 방송에서 러시아 전체 컴퓨터의 30% 가량이 비트코인 채굴 바이러스에 감염됐다고 말하면서 국제적으로도 큰 이슈가 됐다.
국내에서도 지난 7월부터 피해사례가 하나둘씩 발견됐다. 지난 7월 6일 경 한 보안관련 카페에 토렌트 사이트에 성인 유틸로 위장한 비트코인 마이너가 유포되고 있다는 글이 올라왔다. 다행히 대부분의 백신이 악성코드로 탐지하고 차단했지만, 백신을 사용하지 않는 PC의 경우 감염되어 자신도 모르게 비트코인을 채굴하고 있을 가능성이 높다.
10월에는 자기도 모른 채 PC에서 비트코인 마이너가 돌아가고 있다는 글도 올라왔다. 별로 하는 작업이 없음에도 CPU 점유율이 높아져 원인을 찾던 중 ‘taskmon.exe’와 ‘wdf.exe’라는 파일이 CPU를 50% 이상 점유하며 실행되고 있다는 내용이었다. 작성자는 바이러스토탈에서 확인해보니 어떤 곳은 멀웨어, 어떤 곳은 비트코인 마이너로 진단했다고 설명했다.
또 같은 10월에 비트코인 마이너 트로이목마인 ‘Novo Optimizer Gpu Miner’에 감염됐다는 글도 올라왔다. 자료를 찾으러 해외 사이트를 방문했다가 갑자기 CPU와 램 사용량이 급증하는 것을 보고 감염사실을 확인했다는 네티즌은 원인을 찾고 보니 Novo Ping Service, Novo Optimization Service, Windows Driver service 등 3개의 프로세스를 발견했고, 결국 비트코인 마이너라는 것을 최종 확인했다고 말했다.
위협 정보 대응 전문 서비스를 제공하는 제로써트(ZeroCert) 측은 “비트코인을 채굴하기 위해서는 해당 프로그램을 PC에 설치하는 방식과 자바스크립트 기반 홈페이지에서 채굴하는 두 가지가 이용되고 있다”면서 “각각 진행되는 형태에서 최근 사이버 범죄에서는 두 가지 모두 혼합하는 등 비트코인 채굴율을 높이기 위해 변화되는 모습이 관찰되고 있다”고 설명했다.
이렇듯 기존 사용자 PC의 취약점을 악용해 비트코인 악성코드를 설치하는 동시에 홈페이지 접속 또는 광고 배너를 이용해 사용자 PC의 CPU를 악용하는 멀티 공격이 감행되고 있다는 것. 이와 함께 다양한 사이버 범죄와 함께 비트코인 채굴이 혼합되는 형태가 성행할 가능성이 높다고 강조했다.
제로써트는 이러한 공격으로부터 안전하려면 OS, 인터넷 브라우저, 어도비 플래시 플레이어, 자바, 백신 등 설치된 어플리케이션의 업데이트를 주기적으로 확인하는 동시에 유해한 사이트의 접속을 피하고 불필요한 광고를 차단하는 것이 좋다고 조언했다.