크립토재킹의 의미와 정의
크립토재킹은 사이버 범죄자들이 암호화폐 채굴을 위해 사람들의 장치(컴퓨터, 스마트폰, 태블릿, 서버까지)를 무단으로 사용하는 사이버 범죄의 일종입니다. 많은 사이버 범죄 형태처럼 동기는 이익이지만, 여느 위협과 달리 피해자가 전혀 눈치채지 못하도록 설계되어 있습니다.
크립토재킹이란?
크립토재킹은 컴퓨터나 모바일 장치에 숨어들어가 그 리소스를 사용하여 암호화폐를 채굴하는 위협입니다. 암호화폐란 토큰, 즉 '코인' 형태의 디지털 가상 화폐입니다. 가장 잘 알려진 것은 Bitcoin이지만 약 3,000여 가지의 다른 암호화폐도 있습니다. 어떤 암호화폐는 신용 카드나 기타 프로젝트를 통해 오프라인 세계로 진출했지만, 대부분은 가상 세계에 머물러 있습니다.
암호화폐는 '블록체인'으로 알려진 분산 데이터베이스를 사용하여 작동합니다. 블록체인은 마지막 업데이트 이후 발생한 모든 거래에 관한 정보로 정기적으로 업데이트됩니다. 최근 거래 세트 각각이 복잡한 수학 연산 과정을 통해 하나의 '블록'으로 결합됩니다.
새로운 블록을 생성하려면 개개인이 컴퓨팅 리소스를 제공해야 합니다. 컴퓨팅 리소스를 제공하는 이에게는 암호화폐로 보상합니다. 이처럼 컴퓨팅 리소스를 화폐로 교환하는 사람을 '채굴자'라고 합니다.
규모가 큰 암호화폐는 전용 컴퓨터 장비를 운영하는 채굴자 팀을 통해 필요한 수학적 계산을 완료합니다. 이러한 활동에는 상당량의 전기가 필요합니다. 예를 들어 Bitcoin 네트워크는 현재 연간 73TWh 이상의 에너지를 사용합니다.
크립토재커와 크립토재킹의 미래
이런 까닭에 크립토재킹이 일어납니다. 크립토재커는 많은 비용을 들이지 않고도 암호화폐 채굴의 이점을 누리려 합니다. 해커는 크립토재킹을 통해 고가의 채굴 하드웨어, 막대한 전기 요금과 같은 부담을 지지 않으면서 암호화폐를 채굴할 수 있습니다. 주로 개인용 컴퓨터에서 채굴되는 암호화폐 유형이 Monero입니다. 추적하기 어렵다는 점에서 사이버 범죄자들이 주목합니다.
크립토재킹이 감소하는지 아니면 늘고 있는지에 대한 논란이 있습니다. 크립토재킹은 암호화폐, 특히 Bitcoin과 Monero의 가치에 비례하여 증가하는 편입니다. 하지만 최근 몇 년 새 두 가지 요인이 크립토재킹을 억제하는 효과를 가져왔습니다.
- 법 집행 기관의 단속.
- 크립토마이너를 취급하는 대표적인 사이트였던 Coinhive가 폐쇄되었습니다. Coinhive에서는 JavaScript 코드를 제공했는데, 웹사이트에 이 코드를 삽입하면 방문자의 컴퓨터로 Monero를 채굴할 수 있게 됩니다. Coinhive의 코드는 금새 악용되기 시작했습니다. 웹사이트 소유자 모르게 해커가 채굴 스크립트를 웹사이트에 삽입하는 것도 가능해졌습니다. 이 사이트는 2019년 3월에 폐쇄되었고, 그와 더불어 사이트 감염 건수가 급감했습니다.
크립토재킹 공격의 동기는 간단합니다. 바로 돈입니다. 암호화폐 채굴로 큰 돈을 벌 수 있으나, 막대한 비용을 감당할 방법이 없으면 수익을 내기가 어렵습니다. 크립토재킹은 크립토마이닝의 범죄 버전입니다. 불법이지만 효과적이고 저렴한 방법으로 가치 있는 코인을 채굴할 방법을 제공합니다.
크립토재킹은 어떻게 작동하나요?
사이버 범죄자가 장치를 해킹하여 크립토재킹 소프트웨어를 설치합니다. 이 소프트웨어는 백그라운드에서 작동하여 암호화폐를 채굴하거나 암호화폐 지갑을 텁니다. 의심하지 않는 피해자는 평소처럼 장치를 사용하지만, 성능 저하나 지연을 경험할 수도 있습니다.
해커가 피해자의 장치를 이용해 암호화폐를 몰래 채굴하는 방법에는 크게 두 가지가 있습니다.
- 피해자가 이메일에 있는 악성 링크를 클릭하도록 유도하여 컴퓨터에 크립토마이닝 코드를 로드합니다.
- 피해자의 브라우저에 로드되면 자동으로 실행되는 JavaScript 코드로 웹사이트 또는 온라인 광고를 감염시킵니다.
수익을 극대화하기 위해 둘 다 사용하는 해커가 많습니다. 양쪽 모두 해당 코드는 크립토재킹 스크립트를 장치에 심어두는데, 이는 피해자가 작업하는 동안 백그라운드에서 실행됩니다. 어떤 방법을 사용하든 이 스크립트는 피해자의 장치에서 복잡한 수학 문제를 실행하고 그 결과를 해커가 제어하는 서버로 전송합니다.
여느 맬웨어 유형과 달리 크립토재킹 스크립트는 컴퓨터나 피해자의 데이터를 손상하지 않습니다. 하지만 컴퓨터 프로세싱 리소스를 도용합니다. 개인 사용자에게는 컴퓨터 성능이 느려지는 것이 그저 귀찮은 일일 수 있습니다. 하지만 기업에는 크립토재킹이 심각한 문제가 됩니다. 크립토재킹에 감염된 시스템이 많으면 실제 비용이 발생하기 때문입니다. 다음은 몇 가지 예입니다.
- 헬프 데스크와 IT 팀이 성능 문제를 추적하고 그 해법으로 구성 요소나 시스템을 교체하느라 보내는 시간.
- 전기 요금 증가.
일부 크립토마이닝 스크립트에는 네트워크에 연결된 다른 장치와 서버를 감염시키는 웜 기능이 있습니다. 그러면 식별하고 제거하기가 더 어려워집니다. 이러한 스크립트는 해당 장치가 경쟁 관계의 크립토마이닝 맬웨어에 이미 감염되었는지를 확인할 수도 있습니다. 다른 크립토마이너가 감지되면 스크립트가 이를 비활성화합니다.
초기 크립토마이닝 사례에서는 일부 웹 퍼블리셔가 방문자에게 사이트에 머무는 동안 암호화폐를 채굴할 수 있도록 허락받는 식으로 트래픽을 수익화하려고 했습니다. 즉, 방문자는 무료 콘텐츠를 제공받고 사이트는 그들의 컴퓨터를 채굴에 사용하는 공정한 거래로 포지셔닝했습니다. 이를테면 게임 사이트에서 사용자가 이 사이트의 페이지에 머무는 동안 JavaScript 코드가 코인을 채굴하는 것입니다. 사용자가 사이트를 떠나면 크립토마이닝이 종료됩니다. 이 접근 방식은 해당 사이트에서 자신들이 하는 일을 투명하게 공개한다면 효과적일 수 있습니다. 사용자 입장에서는 사이트가 정직하게 운영되는지를 알기 어렵습니다.
악성 버전의 크립토마이닝, 즉 크립토재킹은 사용자가 원래 사이트를 떠난 후에도 허락받지 않고 계속 실행됩니다. 이는 의심스러운 사이트의 소유자나 합법적인 사이트를 장악한 해커가 구사하는 수법입니다. 사용자는 방문한 사이트가 자신의 컴퓨터를 사용하여 암호화폐를 채굴하고 있음을 전혀 알지 못합니다. 이 코드는 계속 들키지 않을 만큼의 시스템 리소스만 사용합니다. 사용자는 보이는 브라우저 창이 닫혔다고 생각하지만 숨겨진 창은 계속 열려 있습니다. 작업 표시줄 아래나 시계 뒤에 숨을 만한 크기의 팝 언더(pop-under)인 경우가 많습니다.
크립토재킹은 데스크톱을 노릴 때와 같은 방법으로 안드로이드 모바일 장치도 감염시킬 수 있습니다. 다운로드한 앱에 숨겨진 트로이 목마를 통해 발생하는 공격도 있습니다. 또는 사용자의 휴대폰이 감염된 사이트로 리디렉션된 다음 팝 언더가 계속 남아 있습니다. 휴대폰 각각의 처리 성능은 제한적이더라도, 다수가 공격에 가담하면 크립토재커의 수고가 헛되지 않을 만한 집단 성능을 발휘하게 됩니다.
크립토재킹 공격의 예
세간의 관심을 끈 크립토재킹 사례를 소개합니다.
- 2019년에는 앱을 다운로드한 사람의 리소스로 암호화폐를 몰래 채굴하던 앱 8종이 Microsoft Store에서 퇴출되었습니다. 이들은 서로 다른 세 명의 개발자가 만든 것으로 추정되지만, 동일한 개인 또는 조직이 배후에 있는 것으로 의심되고 있습니다. 잠재적 피해자는 Microsoft Store에서 키워드 검색이나 상위 무료 앱 목록을 통해 크립토재킹 앱을 발견할 수 있었습니다. 사용자가 앱을 다운로드하고 실행하면, 본의 아니게 크립토재킹 JavaScript 코드를 다운로드하게 됩니다.마이너가 활성화되고 Monero를 채굴하기 시작하면서 해당 장치의 리소스를 상당량 사용하게 되어 속도가 느려지게 됩니다.
- 2018년에는 Los Angeles Times의 사건/사고 뉴스 페이지에서 숨어 있던 크립토재킹 코드가 발견되었습니다. 방문자가 사건/사고 페이지로 이동했을 때 그들의 장치는 인기 많은 Monero 암호화폐를 채굴하는 데 사용되었습니다. 스크립트에서 사용한 컴퓨팅 리소스의 양이 미미하여 다수의 사용자는 자신의 장치가 감염되었음을 알지 못했고, 따라서 한동안 이 위협은 발견되지 않았습니다.
- 2018년, 크립토재커들이 유럽의 한 수도 회사 시설 관제 시스템의 운영 기술 네트워크를 표적으로 삼았고, 결국 이 사업자의 수도 시설 관리 능력에 큰 타격을 주었습니다. 이는 산업 관제 시스템에 대한 크립토재킹 공격으로 알려진 최초의 사례입니다. Los Angeles Times 해킹과 마찬가지로 Monero를 채굴하고 있었습니다.
- 2018년 초, Google DoubleClick 플랫폼을 통해 YouTube 광고에서 실행 중이던 CoinHive 마이너가 적발되었습니다.
- 2018년 7월과 8월에 브라질에서 크립토재킹 공격이 20만 대가 넘는 MikroTik 라우터를 감염시켜 방대한 웹 트래픽에 CoinHive 코드를 삽입했습니다.
크립토재킹 탐지 방법
크립토재킹은 대개 해당 장치에서 숨어 있거나 정상적인 활동을 하는 것처럼 위장하기 때문에 탐지가 어려울 수 있습니다. 하지만 다음 세 가지 징후에 주목하세요.
크립토재킹 탐지 - 주의해야 할 3가지 특징
-
성능 저하
- 크립토재킹의 주요 증상 중 하나는 컴퓨팅 장치의 성능 저하입니다. 시스템 속도가 느려지는 것은 가장 먼저 주의해야 할 신호일 수 있습니다. 장치가 느리게 실행되거나 충돌이 발생하거나 비정상적으로 성능이 떨어진다면 조심하세요. 배터리가 평소보다 더 빨리 소모되는 것도 잠재적 징후입니다. - 과열 - 크립토재킹은 리소스 사용량이 많은 프로세스라서 컴퓨팅 장치가 과열될 수 있습니다. 이로 인해 컴퓨터가 손상되거나 수명이 단축되곤 합니다. 노트북이나 컴퓨터의 팬이 평소보다 빠르게 작동한다면, 크립토재킹 스크립트나 웹사이트로 인해 장치가 과열되고 따라서 녹거나 불이 나는 것을 방지하기 위해 팬이 작동하는 것일 수 있습니다.
-
중앙 처리 장치(CPU) 사용량:
미디어 콘텐츠가 거의 또는 전혀 없는 웹사이트에 있을 때 CPU 사용량이 증가한다면, 크립토재킹 스크립트가 실행되고 있다는 신호일 수 있습니다. 좋은 크립토재킹 테스트는 활동 모니터나 작업 관리자를 사용하여 장치의 중앙 처리 장치(CPU) 사용량을 확인하는 것입니다. 그러나 여러분의 억제 조치를 막기 위해 프로세스가 숨거나 합법적인 것으로 위장할 수도 있음을 기억하세요. 또한 컴퓨터가 최대 용량으로 실행되면 속도가 매우 느려지므로 문제를 해결하기가 더 어려울 수 있습니다.
크립토재킹으로부터 자신을 보호하는 방법
우수한 사이버 보안 프로그램 사용:
Kaspersky Total Security와 같은 종합적인 사이버 보안 프로그램은 전반적인 위협을 탐지하고 크립토재킹 맬웨어 보호를 차단하는 데 도움이 됩니다. 여느 맬웨어 예방 조치와 마찬가지로, 피해를 입기 전에 보안 기능을 설치하는 것이 훨씬 더 현명합니다. 운영 체제 및 모든 애플리케이션, 특히 웹 브라우저와 관련된 최신 소프트웨어 업데이트와 패치를 설치하는 것도 좋은 습관입니다.
최신 크립토재킹 트렌드에 주목:
사이버 범죄자는 끊임없이 코드를 수정하고, 업데이트된 스크립트를 여러분의 컴퓨터 시스템에 삽입할 새로운 배포 방법을 개발하고 있습니다. 선제적으로 대비하고 최신 사이버 보안 위협에 관한 정보를 수집하면, 네트워크와 장치에서 크립토재킹을 탐지하고 다른 유형의 사이버 보안 위협도 피하는 데 도움이 됩니다.
크립토재킹을 차단하도록 설계된 브라우저 확장 프로그램 사용:
크립토재킹 스크립트는 웹 브라우저에 배포되는 경우가 많습니다. 웹에서 크립토재커를 차단하는 전문 브라우저 확장 프로그램(예: minerBlock, No Coin, Anti Miner)을 사용할 수 있습니다. 일부 인기 브라우저에서는 확장 기능으로 설치됩니다.
광고 차단 프로그램 사용:
크립토재킹 스크립트는 대개 온라인 광고를 통해 배포되므로 광고 차단 프로그램을 설치하면 효과적으로 차단할 수 있습니다. Ad Blocker Plus와 같은 광고 차단 프로그램을 사용하면 악성 크립토재킹 코드를 탐지하고 차단할 수 있습니다.
JavaScript 비활성화:
온라인 브라우징에서 JavaScript를 비활성화하면 크립토재킹 코드가 컴퓨터를 감염시키는 것을 방지할 수 있습니다. 다만 이 방법으로 드라이브 바이 크립토재킹을 막더라도 여러분에게 필요한 기능을 사용하지 못할 수도 있습니다.
크립토재킹 스크립트를 제공하는 것으로 알려진 페이지 차단:
웹사이트 방문 중에 크립토재킹을 당하지 않으려면, 방문하는 각 사이트가 공신력 있는 화이트리스트에 있는지 확인하세요. 확인된 크립토재킹 사이트를 블랙리스트에 추가할 수도 있지만, 여러분의 장치나 네트워크가 새로운 크립토재킹 페이지에 노출될 위험은 여전히 존재합니다.
크립토재킹은 피해자의 컴퓨터 리소스만 '훔치기'때문에 덜 유해한 범죄처럼 보일 수 있습니다. 그러나 결국 불법적으로 화폐를 채굴하는 범죄자의 사리사욕을 위해, 피해자가 알지도 동의하지도 않은 상태에서 범죄의 목적으로 컴퓨팅 리소스가 쓰이는 것입니다. 위험을 최소화하기 위해 사이버 보안 모범 사례를 따르고, 모든 장치에 신뢰할 수 있는 사이버 보안 또는 인터넷 보안 제품을 설치하는 것이 좋습니다.
Kaspersky Internet Security 제품은 2021년 AV-TEST의 인터넷 보안 제품 부문에서 최고 성능 및 최우수 보호 제품으로 선정되었습니다. 모든 테스트에서 Kaspersky Internet Security 제품은 사이버 위협에 대한 뛰어난 성능과 보호 기능을 보여주었습니다.
추천 제품: