블로그 | 은밀한 네트워크 침입자 ‘크립토마이너 맬웨어’ 차단 방법
Susan Bradley | CSO
크립토마이너(Cryptominer) 맬웨어는 은밀하게 (시스템 내부로) 침투해 네트워크 및 기기의 성능을 저하시킨다. 그 피해를 최소화할 수 있는 몇 가지 작업과 도구를 소개한다.
ⓒGetty Images
아이슬란드가 비트코인 채굴에 이상적인 장소라는 얘기가 있다. 그런데 누군가의 컴퓨터 또한 암호화폐 채굴에 이상적인 타깃이 될 수 있다. 실제로 필자는 불법적으로 고객의 장치에서 크립토마이닝 소프트웨어를 작동시켰던 사례를 알고 있다.
암호화폐 채굴(Cryptomining)은 암호화폐를 생성하는 절차다. 유명 암호화폐 대부분이 수학 문제를 풀어서 암호화폐 단위를 생성하는 방식으로 채굴된다. 자신의 컴퓨터에서 암호화폐를 생성하는 작업은 합법이다. 하지만 특정 컴퓨터를 하이재킹해 암호화폐 채굴에 사용하면 범죄 행위로 간주된다.
‘크립토재킹(Cryptojacking)’은 악성 행위자가 웹 서버 및 브라우저를 통해 시스템을 장악할 때 발생한다. 악성 자바스크립트가 웹 서버에 주입되거나 심어져 사용자들이 웹 페이지를 열면 브라우저가 감염되고, 해당 컴퓨터는 암호화폐 채굴을 위한 장소가 된다.
암호화폐 채굴 맬웨어를 감지해 네트워크 및 기기를 공격으로부터 보호할 수 있을까? 물론이다. 네트워크 상에서 암호화폐 채굴자를 발견하는 간단한 방법을 살펴본다.
네트워크 성능 모니터링
먼저 네트워크의 시스템 성능을 검토해보자. 과도한 CPU 사용량이나 온도의 변화, 팬 속도가 빨라지는 현상을 나타났다면 의심해볼 수 있다. 이런 현상은 업무용 애플리케이션의 코딩이 잘못돼 나타나는 증상일 수 있지만, 시스템에 맬웨어가 숨겨져 있음을 알리는 신호일 수도 있다. 시스템에서 이상 징후를 발견하기 위한 기준선을 정해 놓으면 문제를 발견하기가 더 쉬워진다.
성능과 관련된 이상 징후를 관찰하는 것만으로는 부족하다. 최근 보안사고 사례에서 확인된 것처럼, 공격자들은 CPU 사용량이 잘 드러나지 않도록 하는 수법을 쓰고 있다. 최근 발간된 마이크로소프트 디지털 보안 보고서는 프랑스와 베트남의 정부 기관 및 민간 부문을 노린 베트남 사이버위협단체 '비스무트(BISMUTH)'의 활동에 대해 언급했다.
마이크로소프트는 블로그에서 "암호화폐 채굴자들이 우선순위가 낮은 위협으로 간주되는 점을 이용해 (비스무트가) 은밀히 시스템에 침투할 수 있었다"라고 적었다. 실제로 비스무트는 정상적인 네트워크 활동에 교묘히 숨어 보안 시스템에서 탐지되는 것을 피할 수 있었다.
비인가 연결 관련 로그 검토
컴퓨터의 오작동 외에 은밀하고 악의적인 공격자를 탐지할 수 방법이 또 있을까? 우선 공격자들이 연결을 시도한 기록이 없는지 방화벽과 프록시의 로그를 검토해야 한다. 가급적이면 회사 리소스와 연결된 위치와 인터넷 주소를 정확히 알아야 한다. 이 절차가 번거롭다면 최소한 방화벽 로그를 검토한 후, 현재 알려져 있는 암호화폐 채굴자의 위치를 차단해야 한다.
넥스트론(Nextron)은 지금까지 발견한 크립토마이닝 풀(cryptomining pool)을 공개했는데, 방화벽이나 DNS 서버를 검토해 해당 풀에 속한 프로그램이 침투했는지 확인해야 한다. *xmr.* *pool.com *pool.org and pool.*를 포함한 패턴을 로그에서 검토하고 누가 네트워크를 오용하는지 파악할 수 있다.
극도로 민감한 네트워크일 경우, 네트워크에 필요한 IP 위치와 주소만 연결하도록 한다. 클라우드 컴퓨팅 시대에는 이런 결정을 내리기가 어렵다. 마이크로소프트가 사용하는 IP 주소를 전부 추적하는 것도 쉽지 않은 일이다. 이를테면 마이크로소프트가 애저 데이터센터 IP 범위를 추가할 때마다 권한이 부여된 IP 주소 목록을 변경할 필요가 있다.
크립토마이너 차단 브라우저 확장 기능 사용
일부 브라우저의 확장 프로그램은 크립토마이너를 모니터링하고 차단하는 서비스 및 기능을 지원한다. '노코인(The No Coin)'과 '마이너블록커(MinerBlocker)'가 대표적인데, 의심스러운 행동을 모니터링 하고 공격을 차단한다. 이 두 가지 솔루션은 모두 크롬, 오페라, 파이어폭스에서 사용할 수 있다.
브라우저에서 자바스크립트(JavaScript)가 실행되지 않도록 차단하는 것도 대안이다. 이 배너 광고 및 기타 웹사이트 조작 기술을 통해 악성 자바스크립트 애플리케이션이 전송되기 때문이다. 단 이 방법을 적용하면 업무에 필요한 일부 사이트에 악영향을 줄 수 있으므로 우선 조직 내에서 자바스크립트를 차단할 수 있는지 알아봐야 한다.
슈퍼두퍼 보안 모드(Super-Duper Secure Mode)
마이크로소프트 엣지 브라우저를 통해 슈퍼두퍼 보안 모드를 테스트할 수 있다. 이 기능은 V8 자바스크립트 엔진에서 JIT(Just-In-Time) 컴파일을 비활성화하여 엣지 브라우저의 보안을 향상시킨다.
마이크로소프트는 최신 브라우저 내부의 자바스크립트 버그가 흔한 공격 방법이라고 말했다. 2019년 CVE 데이터에 따르면 V8에 대한 공격의 약 45%가 JIT와 연관이 있는 것으로 나타났다.
그러나 JIT 컴파일을 비활성화하면 (자바스크립트 코드) 성능에는 영향을 줄 수 있다. 마이크로소프트 브라우저 취약점 조사에 따르면 실제로 성능 저하가 일부 확인됐다. 스피도미터 2.0(Speedometer 2.0) 같은 자바스크립트 벤치마크에서는 최대 58%의 성능 저하를 보였다.
마이크로소프트는 벤치마크가 일부분을 보여주는 결과이기 때문에 사용자가 자바스크립트 성능 저하를 크게 인지하지 못할 것이라고 설명했다. 실제로 사용자들이 일상에서 별다른 차이를 거의 체감하지 못한다는 것이다.
한편 암호화폐 채굴이 외부 위협인 동시에 내부 위협이라는 시각을 갖는 것도 중요하다. 매니지드 서비스 제공업체의 경우 특히 그렇다. 내부 직원이 고객사의 네트워크를 악용할 수 있다. 공격 가능성으로부터 자신을 적극 보호하기 위해 앞서 언급한 선택지를 검토하길 권한다.
* Susan Bradley는 애스크우디닷컴(Askwoody.com), CSO온라인닷컴(CSOonline.com) 등에서 칼럼을 기고하는 전문 칼럼니스트다.
ciokr@idg.co.kr