불법 비트코인 채굴 시도에 사용되는 악성코드 증가

비트코인과 같은 가상화폐 열풍이 불면서 개인 및 기업 전산망에 대한 해킹 시도 및 편법적으로 채굴 프로그램을 동작시키는 악성코드가 더불어 증가하고 있는 추세이다.

기업 내부 및 외부에서 운영 중인 전산 환경 중 특히, 서버에 대한 적극적인 보안 패치 및 주기적인 악성코드 검사와 운영 상태 모니터링이 이루어져야 할 필요성이 점차 높아지고 있는 상황으로 전산 담당자들의 관심과 적극적인 대처가 필요한 것으로 보인다.

해킹 또는 불법적인 비트코인 채굴 시도가 증가하는 이유는?

비트코인 등과 같은 가상화폐를 얻는 방법은 두 가지로 가상화폐 거래소 등을 통해 비용을 지불하고 구입하는 방법과 직접 시스템을 구축하여 컴퓨터 연산 작업을 통해 채굴(Mining)하는 방법이 있다.

특히, 가상화폐를 캐내기 위해서는 복잡한 연산 문제를 풀어야 하고 시간이 지날수록 문제의 난이도가 높아지면서 채굴 프로그램의 채산성도 낮아지는 상황이 발생하다 보니 기존에 채굴된 가상화폐를 직접적으로 훔치기 위한 해킹 공격도 나날이 증가되고 있으며, 실례로 비트코인 거래소에 대한 해킹은 해외는 물론 국내에서도 발생하고 있으며 ‘유빗’과 같은 경우, 보유 중이던 코인 17% 정도를 손실하게 되어 결국 해당 거래소 운영을 하지 못하고 파산 절차에 들어가는 상황도 발생하였다.

또한, 채굴에 소요되는 컴퓨팅 자원을 구축 운영하기 위한 비용과 전기세를 감당하기 어려운 상황이 존재하다 보니 웹사이트의 광고 배너의 취약점을 이용하여 채굴 프로그램을 방문자 PC에 교묘하게 설치한 후 채굴한 가상화폐를 자신에게 전송하는 방식과 함께 나아가 성능이 뛰어나고 더 많은 컴퓨터를 가동할수록 얻을 수 있는 가상화폐가 늘어난다는 점을 착안하여 악성코드를 전파하는 봇(Bot) 형태로 네트워크 상에서 취약점이 패치 되지 않은 전산 서버 환경에서 동작하여 자기 자신을 서비스화 하여 스케줄 형태로 등록 시키고 불법적으로 운영하는 사례가 포착되었다.

이와 같은 보안 취약점을 갖고 운영되는 기업 서버 환경의 경우, 운영체제 보안 패치 및 해당 서버에서 운영하는 어플리케이션에 대한 패치가 최신으로 유지되지 못하는 경우가 많은 데 이러한 상황에서는 지속적으로 불법 채굴 프로그램이 봇(Bot) 형태로 침투/실행이 가능하기에 시스템 리소스 누수 및 전기세 증가 등의 결과를 만나게 될 가능성이 더욱 높다고 하겠다.

비트코인 불법 채굴 프로그램 의심 상황 확인 및 일반적 조치 방안

1. 특정 프로세스의 리소스 점유율이 이전과 달리 비 정상적으로 높으며, 해당 프로세스에 대한 정체 확인이 어려운 형태를 발견한 경우

   -> 작업 관리자 또는 Microsoft에서 제공하는 Process Explorer와 같은 프로그램을 이용

   -> 어떠한 프로세스가 CPU 사용률이 높은 지 확인하고 정상적으로 운영하는 프로그램인 지 추가 확인을 진행

   -> 해당 의심파일에 대한 바이러스/악성코드 검사를 진행했을 때 검출이 되지 않는 경우라면 의심 파일로 백신 회사에 접수하여 확인 및 업데이트가 진행되도록 요청

2. 불법 채굴 프로그램의 경우 불법적으로 채굴한 가상화폐에 대한 정보를 외부와 통신하여 전달해야 하는 태생적인 형태를 추가적으로 확인

   -> Microsoft에서 제공하는 Tcpview와 같은 통신 상황 점검 프로그램을 통해 해당 전산 자원과 연결된 IP 대역대 및 주소에 대한 정보를 수집하여 비정상적인 접근 주소 및 대역대에 대한 결과를 확인

   -> 불필요한 통신 대역대에 대해서는 방화벽 장비 차단 기능 설정 등을 통해 적극적으로 보안 강화 설정하기를 권장

3. 운영체제 부팅 및 운영 시 자동 실행되는 항목 중 운영 목적과 맞지 않는 상태를 발견한 경우 해당 항목에 대한 담당자 확인 및 수동 삭제 진행

   -> Microsoft에서 제공하는 Autoruns와 같은 시작 프로그램 및 서비스 관련 정보를 확인할 수 있는 프로그램을 통해 의심 항목을 확인하고 및 불필요한 경우는 수동 제거 시도