Home > 전체기사

NSA의 해킹 툴 활용한 대규모 암호화폐 채굴 캠페인 주의

  |  입력 : 2019-04-26 10:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
이미 수백 개의 업체 당해...공격의 시작은 악성 엑셀 파일로부터
암호화폐 채굴 효율 좋아...그만큼 피해자 시스템과 네트워크 마비 가능성 높아


[보안뉴스 문가용 기자] 이터널블루(EternalBlue)라고 알려진 익스플로잇의 새로운 버전 하나가 중국의 기업 수백 곳을 타격하고 있다는 소식이다. 이 캠페인은 암호화폐를 노리는 ‘크립토재킹’을 위주로 한 공격으로, 비피(Beapy)라고 불린다. 공격자들은 이메일을 통해 최초 침투를 시도하며 네트워크 내에서 횡적으로 움직여 암호화폐 채굴 멀웨어를 곳곳에 심는다고 한다.

[이미지 = iclickart]


보안 업체 시만텍(Symantec)이 자사 블로그를 통해 발표한 바에 의하면 이 ‘비피’ 캠페인은 이전에 발견됐던 블루윔스(Bluewimps) 웜과 동일한 전략을 차용하고 있다. “공격은 제일 먼저 악성 엑셀 파일로부터 시작됩니다. 피싱 이메일에 첨부된 형태로 기업에 전송되죠. 기업 내 누군가가 이 첨부파일을 받아 열면, 더블펄사(DoublePulsar)라는 백도어가 다운로드 됩니다.”

다운펄사라는 이름이 익숙한 사람이 많은 것이다. 이는 몇 년 전 셰도우 브로커스(Shadow Brokers)라는 해커 그룹이 “NSA의 해킹 툴”이라고 유출시킨 파일 덤프 속에 포함된 익스플로잇 중 하나로, 이터널블루와 마찬가지로 보안 업계와 해커들 사이에서 주목을 받은 바 있다. 또한 다운펄사는 2017년 워너크라이(WannaCry) 랜섬웨어 사태에서 등장하기도 했다.

시만텍의 위협 첩보 전문가인 알란 네빌(Alan Neville)은 “다운펄사를 통해 비피라는 이름의 파일이 다운로드 된다”고 설명을 이어간다. 이 비피 파일이 공격의 핵심이기 때문에 캠페인 전체에도 비피라는 이름이 붙었다. “비피는 네트워크 전체로 퍼져가려는 시도를 합니다. 이 때 이터널블루를 사용하거나, 다른 곳에서 취득한 네트워크 크리덴셜을 대입합니다. 크리덴셜을 사용해서 횡적으로 움직이는 경우가 더 위험한데, 이는 사실상 공격자를 정상 사용자로 둔갑시켜주기 때문입니다. 그런 후 비피는 화폐 채굴 코드를 다운로드 해서 설치합니다.”

최종 목적인 암호화폐 채굴인 만큼 데이터가 밖으로 새나가거나 유출될 걱정은 없는 게 정상이지만 보안 업체 발빅스(Balbix)의 제품 관리 책임자인 조나단 벤센(Jonathan Bensen)은 “그래도 심각한 위험”이라고 강조한다. “암호화폐 채굴에 대해서 ‘피해자가 없는 범죄’라는 인식이 퍼져가고 있습니다. 하지만 암호화폐 채굴은 시스템과 네트워크의 성능과 속도를 크게 저하시킴으로서 시간과 자원을 낭비시킵니다. 비피의 경우는 크리덴셜까지 훔치기 때문에 다른 암호화폐 채굴 공격보다 더 위험합니다.”

또한 지금은 비피 캠페인을 통해 데이터가 유출되고 있지 않다고는 하지만, 크리덴셜 대입을 통해 네트워크 전체에 영향력을 펼치고 있는 공격자가 언제 공격의 유형을 바꿔도 이상하지 않다고 벤센은 경고한다. “데이터를 훔치는 것도 사이버 범죄자들에게는 돈이 되는 일이거든요. 사이버 범죄자들은 어떻게 해서든 수익 창출의 기회를 마련하는 이들이고요.”

이러한 우려를 표현하는 건 시만텍도 마찬가지다. “비피 캠페인은 웹 서버를 노리기도 합니다. 웹 서버를 호스트로 활용하기 때문이기도 합니다. 또한 비피의 초기 버전은 미미캐츠(Mimikatz) 모듈을 사용해 크리덴셜을 훔치기도 했는데요, 아파치 톰캣(Apache Tomcat)과 오라클 웹로직(Oracle WebLogic) 서버를 집중적으로 공략했습니다. 웹 서버를 노린다는 건 차후에 더 위험한 공격으로 발전한 가능성을 내포하고 있다는 뜻이 됩니다.”

네빌은 “비피 공격이 현재 상태로도 매우 수익률이 높다”고 말한다. “비피 공격자들이 사용하는 암호화폐 채굴 코드가 기존의 채굴 방법과 조금 달라 채굴 속도가 높기 때문입니다. 기본적으로 CPU를 직접 가동시키는 원리로 되어 있습니다. 중간에 거치는 것이 없기 때문에 채굴 효율이 굉장히 좋습니다. 다만 그렇기 때문에 시스템이 완전히 멈출 수도 있습니다.”

보안 업체 노미넷(Nominet)의 부회장인 스튜어트 리드(Stuart Reed)는 “비피를 방어하려면 피싱 이메일 보안 솔루션을 설치하고, 직원들을 교육시켜야 한다”고 설명한다. “직원 한 명만 비피 엑셀 파일을 열어도 공격은 성공합니다. 단 한 명도 악성 이메일이 걸리지 않게 하려면 솔루션과 교육을 병행해야만 합니다.”

또한 회사 차원에서 시스템 패치를 점검하는 것도 매우 중요하다. 이터널블 공격에 대한 패치는 이미 오래전에 배포됐기 때문이다. “공격자들이 이터널블루를 통해 횡적으로 움직인다는 건, 피해 조직이 패치를 제대로 하지 않았다는 뜻입니다. 패치만 해도 공격자들의 공격 루트 하나가 줄어듭니다.”

3줄 요약
1. 중국 업체들 사이에서 현재 대규모 암호화폐 채굴 캠페인 벌어지고 있음.
2. 이 캠페인의 이름은 비피. NSA의 해킹 도구였던 이터널블루와 더블펄사가 활용되고 있음.
3. 암호화폐만이 아니라 데이터 유출 공격으로 변모할 가능성도 다분함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

스마트 2019.05.03 00:36

"오산시 갈곶동 거주하고 있는 박성호(38) 라합니다. 저에게 불이익을 주려는 그림자 세력이 추적하거나 미행한다는 느낌을 지울 수 없습니다. 2011년부터 활동하여 탈퇴 하였던 사이비 교회 집단이나 불건전한 동아리 단체에서 탈옥이라는 해킹 툴로 여러 차례 감시와 미행을 당하였고 다닌 회사마다 여러 차례 임금체불과 작년에 당한 폭행사건을 비롯해 올해2월 건강보험료와 4월 삼천리 도시가스요금에서 납부마감일을 지켜 납부하였는데도 불구하고 공단이나 회사 측에서 고의적으로 연체금을 발생시켜 건강보험료 30원을 착취당했고 삼천리 도시가스요금은 3월에 연체금을 포함해 납부마감일을 지켜 납부하였는데 4월에 123원이 부당 청구 되었습니다. 범죄의 표적이 되어 사건은 누적되어 가고 점점 인간의 존엄을 상실해가는 비참한 기분을 경험했습니다.

증거는 거의 다 확보 해놓은 상태고 개인적으로 매일 전송 및 공개 가능합니다.

이 뿐만 아니라 전철요금도 기본료 1250원에서 3650원이라는 요금이 나와 해당 기업은행 카드회사와 코레일의 민원을 넣었는데 결과는 2400원에 대한 부당 결제를 정당화 합리화 하는 답변을 받았습니다. 전철요금 같은 경우는 IBK 하이브리드 카드 전산망에 접속하여 개인카드에 등록된 코드를 조작하여 1250원의 기본료 설정값에서 3650원이 결제 되게 끔 변경한 것으로 보여집니다. 개인 1인의 요금이 아닌 나두 모르게 3명의 요금이 결제 되었다는 의구심이 듭니다. 그림자 세력이 국가에 편중하고 결탁하여 개인 대 국가의 경쟁을 부추겨 문제를 어렵게 만들어 버리려는 계략으로 추정 됩니다. 개인 정보 침해의 경계를 넘어서 개인 공공요금을 이용한 사기행위로 변질 된 것입니다. 재가 이동하는 장소마다 경찰의 무전기 소리가 들리고 모르는 사람이 저를 뻔히 처다 봅니다. 이러한 증거가 조직스토킹의 범죄와 맞물려 조직사기단의 범죄로 진화되어 세력화 되어 가고 있고 앞으로 더 큰 피해가 예상됩니다. 이대로라 면은 오산시 갈곶동 우송힐스타운 이라는 빌라를 2107년 부터 1억 2천에 보증 전세 계약한 상태인데 보증금 마저 반환받지 못 할 것이라 불길한 예감이 듭니다. 의심가는 인물들이 있는데 그들이 각종 불법 해킹으로 저 개인의 사생활을 찍어 전파성 있는 지상파 3사와 현존하는 모든케이블 TV 방송국에 유포한것으로 보여집니다. 그리고 그들이 경찰이나 검찰에 청탁이나 외압을 행사해 조직스토킹 범죄와 조직사기단의 사기행위를 방조하거나 묵인하여 범죄집단의 뒤를 봐주고 있는 것으로 보입니다. 앞으로 저의 표현은 묵살되고 인권은 침해되어 노예 처럼 유린당하고 그 어는 기관에다 하소연해 도 구제받지 못하고 인생 망쳐가며 막을 내려야 하는 것입니까 이런 저의 부당한 범죄 비리를 조사 해 주시길 바랍니다."


  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)