암호화폐 뛰니 악성파일도 '난다' [IT돋보기]

크립토재킹→정보도용‧지갑 주소 바꿔치기·몸값

[아이뉴스24 김혜경 기자] 지난 몇 년 간 암호화폐 시장이 급성장하면서 이를 악용하는 사이버 위협도 빠르게 늘어나고 있다. 암호화폐 채굴용 '크립토재커(Cryptojeacker)', 지갑 주소를 바꾸는 '클리퍼(Clipper)' 등을 비롯해 최근에는 암호화폐 이슈를 이용한 악성파일도 유포되고 있어 주의가 요구된다. 시장 성장에 발맞춰 공격 기법도 진화하고 있는 셈이다.

지난 몇 년 간 암호화폐 시장이 급성장하면서 이를 악용하는 사이버 위협도 빠르게 늘어나고 있다. [사진=조은수 기자]

19일 보안업계에 따르면 지난 17일(현지시간) 마이크로소프트(MS)는 암호화폐 지갑을 겨냥한 멀웨어(악성 소프트웨어)를 '크라이웨어(Cryware)'로 정의해 분류했다. MS는 보고서를 통해 과거에는 크립토재커가 주로 사용됐지만 최근에는 크라이웨어라는 형태로 암호화폐 관련 사이버 범죄 형태가 바뀌고 있다는 데 주목해야 한다고 설명했다.

크립토재커는 공격자가 피해자 컴퓨터에 멀웨어를 심어 감염시킨 후 암호화폐 채굴에 이용하는 방식이다. '크립토재킹(Cryptojacking)'이라고 지칭되며, 이는 암호화폐를 뜻하는 크립토커런시(Cryto)와 납치라는 의미를 지닌 하이재킹(jacking)의 합성어다. 2009년 비트코인을 시작으로 다양한 암호화폐가 등장했고, 이후 암호화폐 시장이 2017년을 기점으로 급성장하자 다양한 멀웨어가 유포되기 시작했다.

크립토재커에 감염되면 PC 자원이 암호화폐 채굴에 활용되므로 PC 성능이 저하된다. 문종현 이스트시큐리티 이사는 "초기에는 공격자가 PC를 겨냥해 채굴형 멀웨어를 무작위로 유포하는 방식을 썼지만 컴퓨팅 속도 저하를 인지하기 쉽다는 점과 24시간 작동이 되지 않는 등의 이유로 기업 서버에 설치하기도 했다"며 "과거 대비 최근에는 채굴형 멀웨어가 많이 사용되지는 않는 추세"라고 설명했다.

MS가 탐지한 지난해 기준 '크라이웨어' 멀웨어 샘플 건수 [사진=MS 보고서 일부 발췌]

암호화폐를 겨냥하는 대표적인 멀웨어 유형에는 크립토재커를 비롯해 ▲인포스틸러(Info Stealer) ▲트로이목마(Trojan) ▲클리퍼(Clipper) 등이 있다. 인포스틸러는 기기에 저장된 암호화폐 지갑 정보와 로그인 정보, 인증 수단 등을 빼돌리는 멀웨어다.

트로이목마 멀웨어에 감염되면 정보가 유출되거나 PC 제어권한이 탈취될 수 있다. ESET에 따르면 지난해 5월부터 발견된 수십 개의 암호화폐 지갑 애플리케이션에서 해당 멀웨어가 발견됐다.

ESET는 "안드로이드와 iOS 운영체제를 사용하는 모바일 기기를 대상으로 한 정교한 악성 암호화폐 체계를 발견하고 역추적했다"며 "텔레그램에서 암호화폐 모바일 지갑의 악성 사본을 홍보하는 수십 개의 그룹을 발견했다"고 분석했다.

클리퍼는 사용자가 암호화폐 지갑 주소를 복사‧붙여넣기할 경우 해당 주소를 변조하는 기법이다. 공격자는 이메일이나 특정 사이트를 이용해 사용자의 PC에 멀웨어를 유포한 후 해당 기기가 악성파일에 감염되면 이같은 악성 행위를 수행한다.

크립토재커의 경우 암호화폐 지갑을 직접 공격하지는 않지만 이후에 등장한 기법들은 정보 유출을 통해 사용자의 자산을 겨냥한다는 점이 다르다.

문 이사는 "랜섬웨어 공격이 급증하면서 암호화폐를 타깃으로 한 멀웨어의 경우 새로운 기법이 보고되는 경향은 줄었다"며 "악성파일 자체는 최근에 발견된 것이더라도 기법은 예전부터 사용된 방식이라는 것"이라고 말했다.

MS는 보고서에서 크립토재커를 제외한 정보 탈취용 멀웨어를 크라이웨어로 분류하고 있는 것으로 풀이된다. MS는 "클리퍼 등의 기법은 과거부터 공격자들이 사용해 왔지만 최근 유포가 늘고 있다는 점을 포착됐다"며 "크라이웨어는 사이버 공격에서 암호화폐를 사용하는 수법이 변하고 있다는 것을 의미한다"고 전했다.

/김혜경 기자(hkmind9000@inews24.com)

▶네이버 채널에서 '아이뉴스24'를 구독해주세요.

▶재밌는 아이뉴스TV 영상보기▶아이뉴스24 바로가기