세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[주말판] 암호화폐 시장 노리는 해커들의 수법 7가지
  |  입력 : 2018-06-23 17:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
암호화폐에 대한 열기 때문에 다른 보안 분야 비교적 조용
거래소 노리거나 컴퓨팅 파워 훔치는 게 대세...ICO도 불안불안


[보안뉴스 문가용 기자] 암호화폐 시장의 열기가 식지 않는 가운데, 이 기회를 놓치지 않으려는 사이버 범죄자들의 공격 수단 역시 갈수록 다양해지고 있다. 암호화폐 시장에 흐르고 있는 큰 돈을 자기 주머니로 넣고자 함이다. 그래서 공격자들은 투자자를 노리거나, 거래소를 뒤집어 놓거나, 남의 컴퓨터로 채굴을 한다.

[이미지 = iclickart]


2018년 범죄 활동의 많은 부분이 암호화폐나 블록체인에 집중될 것이라는 전망은 보안 전문가 대부분의 것이다. 암호화폐 채굴 코드를 제작해 배포하는 기업 크립토어웨어(CryptoAware)는 “지난 7년 동안 일어난 암호화폐 관련 범죄 활동을 전부 합한 것의 절반 이상이 2018년 상반기 동안에 발생했다”고 말할 정도다. 과연, 상반기가 지나가고 있는 지금 시점에서 암호화폐 분야에서의 손실은 17억 달러에 근접하고 있다. 그것도 공개되고 알려진 사건만을 추렸을 때의 금액이다.

비슷한 의견이 또 있다. 암호화폐에 몰리는 관심이 얼마나 거센지, 기존에 우리를 괴롭혀왔던 사이버 공격이 줄어들었다는 것이다. 보안 업체 리스크 베이스드 시큐리티(Risk Based Security)는 최근 발표한 2018년 1사분기 데이터 유출 트렌드 보고서를 통해 “지난 6년 동안 이번 1사분기처럼 조용했던 적이 없다”고 했다. 이에 대해 여러 가지 이유를 내세우고 있지만, 가장 설득력이 있는 건 암호화폐로 관심이 쏠렸기 때문이라는 것이다.

리스크 베이스드 시큐리티의 부회장인 잉가 고딘(Inga Goddijn)은 “암호화폐에 대한 범죄자들의 관심이 얼마나 큰지 데이터를 훔치고자 하는 열망이 사그라든 것처럼 보인다”고 말한다. “물론 아직 이런 경향이 확실하게 굳어졌다고 말하기는 이릅니다. 그러나 가장 이득이 많은 곳을 노리는 것이 범죄자들의 일반적인 성향이라고 생각했을 때, 암호화폐에 집중된 지금의 범죄 활동이 이상한 것은 아닙니다.”

그렇다면 사이버 범죄자들은 어떤 방법들로 암호화폐 생태계를 공격하고 있을까? 여태까지 발견된 모든 암호화폐 탈취 수법을 총 정리해 보았다.

1. 암호화폐 거래소를 곧장 노린다
한국의 암호화폐 거래소인 코인레일과 빗썸, 일본의 코인체크에서 발생한 최근 해킹 사건은 올해 있었던 수많은 거래소 해킹 사건의 일부일 뿐이다. 암호화폐 거래소가 해커들에게 당하면 보통 천문학적인 돈이 사라진다. 코인레일의 경우 3천 7백만 달러라는 돈을 잃었고, 또 다른 거래소인 코인체크(Coincheck)의 경우 5억 달러가 넘는 돈이 공격자들의 손에 넘어갔다. 암호화폐 거래소는 아무런 규제를 받지 않고 있기 때문에 반드시 지켜야 할 보안 준수 사항이나 표준이 없고, 그래서 암호화폐 생태계에서 상당히 취약한 고리로 남아있다.

2. 크립토재킹(Cryptojacking)으로 해결한다
돈이 있는 거래소를 노린다는 건 꽤나 직관적인 개념이다. 하지만 사이버 범죄자들 사이에서 가장 인기가 높은 공격법은 아니다. 오히려 암호화폐 채굴에 필요한 컴퓨팅 파워를 훔친다는 개념을 가진 크립토재킹이 현재까지는 가장 많이 사용되는 공격 기법으로 남아있다. 암호화폐 채굴을 하려면 꽤나 좋은 컴퓨터나 프로세서가 필요한데, 그래서 범죄자들은 많은 컴퓨터의 파워를 훔쳐내 채굴을 진행한다.

그래서 결국엔 채굴을 위한 봇넷이 만들어진다. 일반 가정용 컴퓨터부터 기업용 서버까지, 다양한 컴퓨터에 멀웨어를 심어 봇넷을 만들고 채굴을 시작한다. 최근에는 사물인터넷 장비나 클라우드 버킷, 웹 서버, 모바일 기기까지도 봇넷에 편입돼 채굴에 활용된다. 하여간 전원과 인터넷에 연결된 기기들이라면 전부 이들의 공격 대상이 되는 게 요즘의 흐름이다.

클라우드 보안 업체 돔나인(Dome9)의 CEO 조하르 알론(Zohar Alon)은 “작년, 클라우드 생태계에서 일어나는 보안 사고는, 해커들이 클라우드 내 데이터를 노리고 일으킨 것들이었다”고 말한다. “하지만 최근에는 클라우드 내에 데이터만큼 가치가 높은 자산이 있다는 걸 범죄자들이 깨닫기 시작했어요. 바로 클라우드 환경의 컴퓨팅 파워죠. 이를 통해 채굴을 할 수 있게 된 것이죠. 그것도 수개월 동안 아무도 모르게 일을 진행하는 경우가 생기고 있습니다. 수백만 달러에 이르는 클라우드 사용료와 전기세를 하나도 내지 않고 말이죠.”

3. 지갑을 소매치기한다
지난 해 말부터 보안 전문가들은 안전하지 않은(보안 장치가 제대로 도입되지 않은) 디지털 암호화폐 지갑을 찾아 헤매는 범죄자들의 스캐닝 빈도수가 급격히 올라간 것에 주의를 기울이고 있다. 사이버 범죄자들은 관광지에서 극성을 부리는 소매치기들처럼 자기들이 쉽게 가져올 수 있는 지갑을 찾고 있다.

방법도 다양해지고 있는 추세인데, 그래도 대세는 기존의 사이버 범죄 기법을 응용하는 것이다. 예를 들어 지난 4월 보안 업체 지스케일러(Zscaler)는 엔제이랫(njRAT)이란 멀웨어를 발견해 발표한 바 있다. 엔제이랫은 기본적으로는 원격 접근 트로이목마(RAT)였으나 랜섬웨어 기능도 가지고 있었고, 무엇보다 비트코인 지갑을 훔쳐내는 기능도 탑재되어 있었다.

또 다른 보안 업체 팔로알토 네트웍스(Palo Alto Networks) 역시 콤보잭(ComboJack)이라는 멀웨어를 발견한 바 있다. 지갑 주인의 클립보드로부터 지갑의 주소를 훔쳐내는 멀웨어였다. 지갑 주소는 보통 굉장히 길고 외우기 힘든 문자열로 구성되어 있어 대부분의 사람들의 복사 후 붙여넣기를 하는데, 이 점을 범죄자들이 간파한 것이다.

보안 업체 베로딘(Verodin)의 제임스 레루드(James Lerud) 팀장은 “암호화폐에 투자하고 있다면 거래가 어떤 원리와 과정을 통해 발생하는지 상세히 이해해야 할 필요가 있다”고 주장한다. “그래야 자기가 가진 자산을 보다 잘 보호할 수 있게 됩니다.”

레루드의 설명은 계속된다. “마찬가지로 암호화폐 지갑에 대해서도 보다 명확한 이해를 해야 합니다. 현재의 지갑은 금고에요. 그런데 그 금고가 어디 은밀한 지하에 숨겨져 있는 게 아니라 다른 사람들의 금고가 다 모여 있는 방에 있어요. 누구나 그 방에 드나들며 자기 금고에 귀중품을 보관하거나 빼가는, 어느 정도 열린 방이죠. 이런 환경에서 금고 열쇠를 어떻게 보관할 것인가, 아니면 그 키를 누구에게 맡길 것인가가 금고를 지키기 위해 가장 먼저 해결해야 할 고민이죠.”

4. 정상적인 채굴 업자들로부터 훔친다
암호화폐 채굴이라고 하면 범죄자들을 떠올리곤 하는데, 사실 채굴 행위 자체는 합법적인 것이다. 따라서 자신의 돈으로 채굴 장비를 사들여 전문적으로 채굴만 하는 사람들도 있다. 이런 사람들 역시 일찍부터 사이버 범죄자들의 레이더 망에 들어갔다. 그래서 정상 채굴 업자들이 사용하는 소프트웨어나 하드웨어의 취약점을 통해 공격을 가하는 사례가 늘어나고 있다.

보안 업체 비트디펜더(Bitdefender)는 이더리움이라는 암호화폐를 채굴하는 시스템에 많이 설치된 운영 체제인 EthOS를 표적으로 삼고 있는 공격 행위를 발견한 바 있다. 공격자들은 EthOS의 시큐어 셸 연결 중 열려 있는 것을 스캔하고, 디폴트 로그인 크리덴셜을 대입했다. 그렇게 해서 해당 시스템을 완전히 장악하고 저장된 코인을 전부 자기 지갑으로 전송했다.

또 다른 보안 업체 치후360(Qihoo360)도 비슷한 사례에 대해 최근 발표했다. 해커들이 암호화폐를 채굴하는 장비와 개인의 지갑으로부터 2천만 달러를 훔쳐냈다는 내용이었다. 이 때 해커들은 8545 포트에 연결된 RPC 인터페이스를 스캐닝한 것으로 알려졌다. RPC 인터페이스는 이더리움 기반 서비스에 접근하기 위한 API로, 설정이 불안전하게 될 경우 암호화폐 채굴 업자를 완전히 노출시키게 된다.

5. 멀웨어가 심긴 가짜 지갑 플랫폼으로 유혹한다
비트코인이나 이더리움 등, 암호화폐 코인 이름만 봐도 사람들 고개가 돌아가고 심장이 콩닥콩닥거린다는 것 자체만으로도 사이버 범죄자들에겐 기회가 열린 셈이다. 이런 이름들만 써도 손쉬운 ‘미끼’가 만들어지기 때문이다. 암호화폐를 노리지 않아도, 이런 광풍을 이용해 다양한 피싱 캠페인을 펼칠 수 있는 것이다.

이런 현상을 응용한 공격 중 하나가 가짜 지갑 플랫폼을 만들어 배포하는 것이다. 안전한 지갑을 찾는 암호화폐 투자자들에게 지갑을 하나 소개하면서 설치하라고 하지만, 사실 배달되는 건 멀웨어다. 암호화폐 투자자들의 지갑을 훔쳐가게 해주는 멀웨어부터 각종 스파이웨어, 혹은 랜섬웨어까지 그 종류도 다양하다.

6. 피싱 공격을 다양화한다
보안 업계에서 오랜 시간 발 담가온 베테랑이라면 피싱 공격의 무서움을 잘 이해하고 있다. 이 기초적인 공격 수법은 절대 간과해서는 안 될 것 중에서도 손꼽힌다. 암호화폐 세계에서도 이는 마찬가지다. 현재도 암호화폐 투자자들을 노리는 피싱 캠페인은 파괴적으로 지속되고 있다.

예를 들어 최근 한 해커 무리들은 여러 암호화폐 투자자들을 한 피싱 웹사이트로 유혹해 4백만 달러를 훔쳐내는 데 성공했다. 암호화폐 지갑을 만들 때 사용되는 81개 문자열이나 시드를 생성해주는 웹사이트를 흉내 낸 가짜 사이트였다. 여기서 지갑을 만든 투자자들은 악성 시드를 기반으로 했기 때문에 해커들이 자유롭게 드나들 수 있는 공간이 되었다.

보안 업체 리스크IQ(RiskIQ) 역시 이더리움을 보유한 사람들을 노린 피싱 공격을 발견했다. 공격자들은 이더리움 사용자들을 마이이더월렛(MyEtherWallet)이라는 피싱 페이지로 우회시켰다. 여기서 사용자들의 크리덴셜을 탈취한 것만이 아니라 활성화된 웹 세션에 스크립트를 주입시켜 방금 훔친 크리덴셜을 활용해 사용자들 몰래 은행 거래도 뒤에서 진행하는 공격이었다.

7. ICO 과정 중에 훔쳐라
올해 초 EY에서 발행한 보고서에 의하면 여태까지 진행된 ICO의 코인 10%가 해커들의 손에 넘어갔다고 한다. “ICO 시장의 성장 속도와 규모가 해커들의 관심을 끌 수밖에 없는 수준으로 치닫고 있습니다. 중앙 관리 시스템이 없고, 참여자 모두가 ‘서두르는 분위기’가 형성되는 곳이니 해커들이 좋아할 수밖에 없습니다. 게다가 블록체인 거래는 되돌릴 수가 없고, 온갖 허위 정보들이 난무하니 여건이 더 좋습니다.”

ICO에 대한 공격은, ICO를 시작하는 신규 사업자들을 노리는 것도 있고, 거기에 참여하려는 투자자들을 노리는 것도 있다. 사업자들은 투자자를 유치하는 것을 최우선 순위에 두기 때문에 보안이 허술하고, 일반 개인인 투자자들 역시 돈을 버는 것에 집중하기 때문에 보안이 허술하다. ICO 과정은 전체적으로 불안한 프로젝트일 수밖에 없다. EY의 보고서에 따르면 “ICO의 규모가 크면 클수록 해커들이 몰릴 가능성이 높다”고 한다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)