세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
김일성종합대학, 모네로 채굴기 전파하고 있다
  |  입력 : 2018-01-09 10:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
최근 발견된 모네로 채굴기, 김일성종합대학으로 송금하는 중
“국제사회 제재로 타격 큰 북한... 암호화폐는 생명줄과 같아”


[보안뉴스 오다인 기자] 북한에 대한 국제사회의 제재가 강화되는 가운데, 북한이 돈벌이의 방편으로 불법적인 암호화폐 채굴에 눈을 돌리고 있다는 단서가 또 다시 드러났다.

[이미지=iclickart]


8일 보안업체 에일리언볼트(AlienVault)는 최근 이용자 몰래 모네로(Monero)를 채굴하도록 설치된 멀웨어를 발견했다고 설명했다. 이 멀웨어는 엔드유저 시스템에 은밀히 설치돼 있었으며, 채굴된 모네로를 북한 평양의 김일성종합대학으로 송금하고 있었다. 모네로는 비트코인(Bitcoin) 같은 암호화폐다.

이 멀웨어는 2017년 12월 25일 직전에 제작된 뒤, 오픈소스 모네로 채굴기인 ‘xmrig’을 설치하도록 설계됐다.

그러나 김일성종합대학으로의 송금 자체는 제대로 작동하지 않는 것으로 나타났다. 채굴된 모네로를 채굴기 제조자에게 돌려주는 과정이 잘못 설계된 것처럼 보인다는 뜻이다. 이 멀웨어는 그 자체로만 봤을 때 꽤 단순하게 설계돼 있고, 코드 내에 김일성종합대학 서버가 포함된 것은 보안 연구자들을 속이기 위한 함정일 수도 있다. 에일리언볼트는 설사 이것이 함정이라 하더라도, 이 멀웨어가 앞서 북한과 결부돼온 유사 공격들과도 일관성을 띤다고 지적했다.

에일리언볼트는 “온갖 제재에 타격을 입은 북한 입장에서 암호화폐는 생명줄과 같을 것”이라면서 “김일성종합대학에서 암호화폐에 분명한 관심을 보이고 있다고 해도 놀라울 게 전혀 없다는 뜻”이라고 강조했다.

xmrig 같은 암호화폐 채굴기는 컴퓨터 프로세싱 파워를 이용해 블록체인 상의 거래를 증명하도록 설계돼 있다. 컴퓨터가 비트코인이나 모네로 등 암호화폐 채굴에 들어가면, 그 컴퓨터의 이용자는 그 대가로 소량의 금전적 보상을 받게 된다.

암호화폐 채굴은 합법적인 활동이다. 심지어 코인하이브(Coinhive) 같은 암호화폐 채굴기는 웹사이트 운영자들에게 서비스를 제공하기도 한다. 브라우저에 암호화폐 채굴기를 작동시켜, 웹사이트 방문자들에게 광고를 보여주는 대신 각 CPU 파워로 암호화폐를 채굴하도록 만드는 것이다. 그러나 최근 몇 년간 사이버 범죄자들이 불법적인 수익 창출을 목적으로 점점 더 많은 컴퓨터를 탈취한 뒤 암호화폐를 채굴하기 시작했다.

지난 9월 IBM은 보고서를 발표하면서, 2017년 1월과 7월 사이 CPU 채굴 공격이 무려 6배나 증가했다고 지적했다. 이용자 의사에 반해 암호화폐 채굴기를 설치하는 멀웨어 사용도 이에 포함됐다. 이런 채굴기는 대부분 가짜 이미지 파일에 삽입돼 있으며, 워드프레스(WordPree)나 줌라(Joomla)로 운영되는 서버에 호스트돼 있다. IBM이 분석한 공격들 상당수는 모네로 등의 암호화폐 채굴을 목표로 설계돼 있었다. 비트코인 채굴에는 특수한 하드웨어가 필요하지만, IBM의 크립토나이트(CryptoNight) 알고리즘은 일반적인 PC나 서버에서도 작동 가능하다.

지난 9월, 카스퍼스키 랩(Kaspersky Lab)은 상당히 큰 봇넷 두 건을 보고했다. 이 봇넷은 암호화폐 채굴기에 감염된 컴퓨터들로 구성돼 있었다. 카스퍼스키 랩은 봇넷 한 건의 경우, 암호화폐 채굴에 활용된 봇은 약 4,000대였으며 매월 최대 3,200만 원(30,000달러)까지 수익을 올렸을 것이라고 추산했다. 다른 봇넷은 약 5,000대의 봇으로 구성돼 있었으며 한 달에 2억 1,300만 원(200,000달러)가량을 벌어들였을 것으로 추정된다.

에일리언볼트의 보안 연구자 크리스 도만(Chris Doman)은 “암호화폐 가격이 상승함에 따라 채굴기 감염에 대한 인센티브도 높아졌다”고 말했다. 도만은 “모네로는 채굴의 익명성과 수익성이 보장되기 때문에 그 인기가 계속 높아지고 있다”고 덧붙였다.

최근 수개월 간 보안 연구자들은 라자루스(Lazarus) 같은 북한 연계 조직과 기타 공격자들이 암호화폐 채굴에 왕성하게 뛰어들고 있다는 단서를 상당수 발견했다. 이달 초, 블룸버그 통신(Bloomberg)은 ‘안다리엘(Andariel)’이라는 북한 공격 조직이 한국의 어느 기업 서버를 탈취한 뒤 70모네로를 채굴하는 데 사용했다고 밝혔다.

라자루스는 침해한 네트워크를 통해 모네로를 채굴하는 동시에 비트코인 거래소를 공격하고 있다는 사실이 적발된 바 있다고 도만은 설명했다. 그는 또한 북한의 대학교들이 암호화폐 채굴에 나서고 있다는 보고서가 여러 건 발표되기도 했다고 덧붙였다.

도만은 에일리언볼트에서 발견한 멀웨어가 북한 공격자들의 소행이라고 100% 확정지을 순 없지만 그럴 가능성이 꽤 높다고 말했다. 그는 “이번 발견이 북한과 암호화폐라는 큰 그림에 꼭 들어맞는다는 사실에 주목해야 한다”고 말했다.

에일리언볼트의 보고서는 이곳(https://www.alienvault.com/blogs/labs-research/a-north-korean-monero-cryptocurrency-miner)에서 볼 수 있다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)