방혁준 쿤텍 대표

[아이티데일리]

▲ 방혁준 쿤텍 대표

개요

최근 몇 년에 걸쳐 암호화폐는 큰 이슈를 불러일으키며 성장했고, 암호화폐가 급부상하며 이에 따른 많은 우려도 함께 생겨났다. 표면적으로는 암호화폐에 대한 규정과 암호화폐 해킹 우려가 주요 쟁점인 것처럼 보이지만, 그보다는 마이너(Miner) 또는 크립토재킹(Cryptojacking)이라 일컬어지는 새로운 보안 위협의 등장이 가장 큰 이슈라고 할 수 있다. 마이너의 폭발적인 증가는 가상화폐, 즉 암호화폐의 급격한 가치 상승에 기인한 것으로 분석되며 아래 그래프에서 알 수 있듯 모네로 가격 변동에 따라 악성코드의 수도 함께 증감하고 있음을 볼 수 있다.

▲ 모네로 가격 변동과 악성코드 수의 상관 관계(출처: 맥아피)

참고로 암호화폐의 대명사로 알려진 비트코인과 달리 모네로는 거래의 익명성이 보장돼 누가 얼마나 보낸 것인지 알 수 없으며, 성능 좋은 고가의 GPU를 장착한 시스템이 아닌 일반 CPU 환경에서도 채굴을 지원하는 대표적인 코인으로 알려져 있다. 이러한 이유로 공격자는 불특정 다수를 감염시켜 가상화폐를 채굴할 수 있는 모네로를 선호하는 것으로 알려져 있다.


코인 마이너의 특징

마이너는 ‘암호화폐 채굴 악성코드’로 개념을 정의할 수 있다. 마이너는 사용자 몰래 시스템의 CPU와 GPU를 이용해 암호화폐를 채굴해 공격자의 지갑으로 전송한다. 암호화폐에 대한 채굴 작업을 진행하게 되면 컴퓨터 자원의 사용량이 급격하게 증가하기 때문에 개인 뿐 아니라 기업 및 기관에 막대한 손실을 야기할 수 있다. 이러한 마이너류의 악성코드는 유명 프로그램으로 위장한 파일을 파일 공유 사이트 등을 통해 유포하거나 온라인 광고를 이용한 멀버타이징(Malvertising) 기법, 웹사이트 방문자의 시스템을 이용하는 드라이브-바이-마이닝(Drive-ByMining)기법 등을 통해 유포한다.

▲ 지역에 따른 비피 감염(출처: 시만텍)

또한 최근에 발견되고 있는 마이너 악성코드 중 ▲엑스-배쉬(X-Bash) ▲비피(Beapy) ▲워너 마이너(Wanna Miner) ▲그라보이드(Graboid) 등은 웜(worm)의 특징을 가지고 있어 스스로 전파되는 기능을 가지고 있다. ‘엑스-배쉬(X-Bash)’는 리눅스 및 윈도우 시스템을 타깃으로 하고 있으며 봇넷, 마이너, 랜섬웨어 그리고 자가전파 기능을 가지고 있는 복합적인 행위를 하는 악성코드고, ‘비피(Beapy)’는 초기에는 대부분 이메일을 이용해 불특정의 이용자 PC를 감염시키고 이후 윈도우 SMB 프로토콜의 취약점을 이용해서 측면 전파되는 마이너다. 특히 ‘비피’는 아시아 기업에 큰 영향을 미치고 있으며, 이 중 80%는 중국에 있는 것으로 알려져 있어 한국, 일본 및 베트남에 많은 피해를 입히고 있다.

워너 마이너(Wanna Miner)은 비피와 비슷한 마이너 악성코드이면서 전파방식에서 비피에 비해 확장성을 갖고 있다. 이것은 SMB취약점뿐만 아니라 WMI, 공유폴더 등을 통한 측면 전파 그리고 감염된 PC의 네트워크 어댑터 설정을 확인하여 현재 IP주소와 서브넷 마스크를 기준으로 랜덤한 IP에 악성코드 전파 기능을 수행한다.

마지막으로 Unit 42 연구자에 의해 발견된 그라보이드(Graboid)라는 마이너가 있다. 이 악성코드는 도커 엔진(Docker Engine)의 컨테이너를 사용한 최초의 마이너이며, 대부분의 EDR에서는 컨테이너 내부의 데이터 및 동작을 확인하지 않기에 감지가 어렵고, 해당 악성코드는 새로운 호스트를 쿼리해 다음 대상을 임의로 선택, 확산한다.

▲ 크립토재킹 웜 활동 오버뷰(출처: 팔로알토네트웍스)


피해사례

최근 몇 달간 발견된 멀웨어 중 가장 활발한 활동을 보이고 있는 것들은 대부분 암호화폐 채굴과 관련된 것으로 조사됐다.

암호화폐 채굴 공격은 피해자가 알지 못하는 사이 직접적인 수익을 거둘 수 있고 트로이 목마 등의 랜섬웨어와 같은 정교한 공격을 준비하지 않아도 된다는 장점이 있어 많은 해커들이 이를 악용하고 있다. 암호화폐를 공격 대상으로 하는 대표적인 악성코드인 비피(Beapy)는 감염된 PC에서 무단으로 암호화폐를 채굴하도록 동작한다. 비피가 기업망 전체에 확산되면서 다수의 컴퓨터에서 암호화폐가 무단으로 채굴됐으며, 지난 1월 처음 발견된 이후 기업 조직에서 1만 2,000대 건 이상의 감염 사례가 보고됐다. 비피는 악의적인 코드를 숨긴 엑셀 파일을 이메일 첨부 파일로 전달하는 방식을 통해 PC를 감염시킨다. 이메일을 통해 최초 침투한 비피 악성코드는 네트워크 내에서 횡적으로 움직여 암호화폐 채굴 멀웨어를 곳곳에 확산시키는 것으로 알려져 있다.

그리고 스모크로더(Smoke Loader) 또는 도포일(Dofoil)이라고 불리는 트로이목마 변종 악성코드는 PC를 감염시키고 이를 암호화폐 채굴 작업에 동원하는 수법을 사용하는 신종 악성코드다. MS는 변종 도포일에 감염된 윈도우 PC 8만 대가 탐지됐다고 밝힌 바 있으며, 감염이 시작된 이후 12시간만에 40만 대 이상이 추가 감염된 것으로 나타났다.

또한 감염된 PC를 통하여 모네로를 채굴하도록 하는 크립토재킹 악성코드 그라보이드(Graboid)에 의한 피해도 다수 발생하고 있다. 2019년 10월, 2,000개가 넘는 도커 배포판이 감염된 것으로 보고됐으며 웜의 전파에 사용된 악성 이미지는 1만 회 이상 다운로드 된 것으로 조사됐다.


기존 대응방안의 한계

해커들 중에서는 안정적이면서 지속적인 이익을 챙기기 위해 암호화폐 채굴 악성코드로 기업 인프라를 감염시키는 크립토재킹(Cryptojacking)에 눈을 돌리는 경우가 증가하고 있다. 일반적으로 기업의 경우 주요 데이터 도난, 랜섬웨어 공격으로 인한 데이터 암호화 신호를 찾는 것을 중시한다. 이에 비해 크립토재킹은 훨씬 더 은밀하기 때문에 이를 탐지하는 것은 매우 어렵고 더욱 심각한 피해를 초래하지만, 사실상 드러나지 않는 경우도 있다.

암호화폐 채굴에 대응하기 위한 방안은 크게 ▲네트워크 수준에서의 공격 방어 ▲스마트한 엔드포인트 수준의 방어 등으로 분류할 수 있다.

많은 보안 업체가 네트워크 수준에서 암호 화폐 채굴 동작을 탐지하는 기술과 기법을 개발하고 있다. 크립토재킹 악성코드들은 한 가지 공통점을 갖고 있는데, 바로 암호 화폐를 채굴하기 위해서 통신을 하고 새로운 해시 값을 받을 수 있어야 한다는 것이다. 이 해시를 계산해서 다시 서버로 보내고, 정확히 전자 지갑에 넣는다. 즉 네트워크에 의심스러운 동작이 있는지 모니터링해 암호 화폐 채굴을 탐지할 수 있다. 하지만 암호화폐 채굴 트래픽을 다른 종류의 통신과 구별하기 아주 어렵다는데 그 문제가 있다. 네트워크를 통해 전달되는 메시지는 아주 짧고, 정상적인 메시지와 구분하기가 어려우며, 악성코드 개발자는 다양한 기법으로 이를 감춘다.

또한 이러한 공격은 컴퓨터만을 대상으로 하는 것이 아니고 모든 컴퓨팅 관련 장치를 암호 화폐 채굴에 이용할 수 있다. 최근에는 IoT 장치가 무수히 많이 사용되고 있어 멀웨어 공격의 타깃이 되고 있으며, 이러한 장치를 연결해 슈퍼컴퓨터를 만들어 암호 화폐 채굴에 사용할 수도 있다. 하나의 IoT 기기로는 암호 화폐를 채굴할 수 없지만 수많은 IoT 기기를 통합해 거대한 마이닝 풀(Mining Pool)을 만들면 이를 암호화폐 채굴에 활용할 수 있는 것이다. 한 보안 전문가는 “컴퓨터 한, 두 대는 큰 문제가 되지 않는다. 그러나 수많은 컴퓨터가 악용되면 기업의 리소스와 대역폭에 영향이 초래되기 시작한다. 여러 다양한 법과 규정 때문에 어떤 경우에도 암호 화폐 채굴을 할 수 없는 기업들도 있을 수 있다”고 말했다.

크립토재킹으로 인한 피해를 막는 또 다른 다른 방법은 엔드포인트를 보호하는 것이다. 공격자는 암호화 및 감춰진 통신 채널을 이용해 네트워크 기반 방어체계를 뚫고 침입할 수 있다. 이럴 경우 암호 화폐 채굴을 탐지하기 위해서는 엔드포인트를 직접 보호하는 방법이 필요하다. 이를 위해서는 시스템의 변경 및 변동 사항을 모니터링 하고, 승인된 변경인지 아닌지를 확인할 수 있어야 한다. 하지만 현재 이러한 공격을 엔드포인트 수준에서 탐지하기는 아주 어렵다. 엔드포인트는 모바일 장치, IoT 장치, 노트북, 컴퓨터, 서버 등으로 그 종류가 매우 다양하기 때문이다. 그리고 의도적 행위, 의도적이지 않은 행위가 존재해 모니터링 해야 하는 범위가 너무나 광범위하기 때문에 사실상 모든 것을 확인하기는 불가능하다.

그리고 내부자에 의한 암호 화폐 채굴 위협도 존재하는데, 적법한 사용자가 고의로 암호 화폐 채굴 소프트웨어를 설치하는 경우도 있다. 내부자는 자사에서 사용하는 탐지 및 확산 방지 방법을 알고 있으므로 이를 회피하여 채굴 작업을 진행할 수 있어 이를 감지하기란 훨씬 더 어렵다.

또한 암호 화폐 채굴은 기존의 악성코드 행위와는 달리 눈에 띄는 피해가 없어서 기존 보안제품만으로 대응하기에는 한계가 있다.


암호화폐 해킹을 막기 위한 신기술 소개

최근 고도화되고 있는 각종 사이버 공격을 방어하기 위한 기술로 디셉션(Deception) 기술이 등장했다. 공격자를 속이는 기만기술인 디셉션 기술은 사이버 상의 공격자가 서버 또는 시스템을 공격할 때 유인하는 함정으로 만들어졌던 허니팟(HoneyPot)이 변화한 형태다.

허니팟이란 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템으로, 공격자들을 유인해 걸려들게 하는 일종의 덫이다. 공격자는 공격에 취약하게 구성된 시스템 자원에 접근한 것이라고 생각해 실제 시스템에 침입한 것이라 착각하게 되고, 허니팟은 이를 통해 공격자를 추적하고 공격자에 대한 정보를 수집한다. 초기의 허니팟은 보안담당자가 공격에 대한 정보를 수집할 수 있어 방어 기능 강화에는 유용했지만, 라이선스 문제와 복잡성, 대규모 네트워크나 다양한 시스템에 대한 한계가 있어서 보안 분석가에게만 매우 제한적으로 사용됐다.

현재 대부분의 보안 장비는 시그니처나 패턴 매칭의 방식으로 공격에 대응하고 있다. 이는 공격 행위의 고유 부분을 검사하는 방식이기 때문에 진단이 정확하고 악성코드에 대한 검사 속도가 빠르다는 것이 장점이지만, 기존에 알려지지 않은 새로운 형태의 악성코드의 공격에는 대응하지 못한다는 치명적 단점 또한 갖고 있다. 여기서 문제는 새로운 악성코드들이 너무 많이 생겨나고 있다는 것이다. 백신 전문기업 카스퍼스키(Kaspersky)의 발표에 따르면 2018년 신종 악성코드는 일평균 34만 6천 개에 이른다.

▲ 2018년 탐지된 신종 악성파일 분포도(출처: 카스퍼스키)

새로운 악성코드에 대한 대응을 제대로 하지 못하기 때문에 공격자가 타깃을 정해 지속적으로 공격을 시도하면 결국 성공할 수밖에 없는 것이 오늘날의 보안환경이라 할 수 있다. 이제는 공격자의 내부 네트워크 침입 유무뿐 아니라, 이미 침입한 공격자를 어떻게 발견하고 대응할 것인지에 중점을 두고 대응책을 마련해야 한다. 내부에 침입한 공격자를 조기에 발견하고 처리하기 위한 유용한 대안으로 떠오르고 있는 것이 바로 사이버 디셉션 기술이다.

기존 솔루션으로는 탐지와 방어가 불가능한 새로운 유형의 공격과 정교한 공격을 탐지하는 것이 목적인 사이버 디셉션 기술은 보안 운영 센터가 위협에 신속하게 대처하는데 필요한 모든 기능에 대한 지원이 가능하다. 공격자가 침투해 행하는 일련의 행위를 모두 기록해 중앙관리 서버에 보고하기 때문에 공격자가 배포하려는 악성파일을 격리시키거나, 공격 근원지와의 연결을 차단할 수 있고 공격자의 내부 움직임을 시각화해 빠르게 판별할 수 있다. 또한 디셉션 기술은 해당 기술의 구현을 위한 비용을 최소화하면서도 기존의 보안 장비들과 연동할 수 있는 요소들을 갖추고 있어 광범위하고 심층적인 솔루션 통합이 가능하다.

사이버 디셉션 기술의 또 다른 장점은 로컬 네트워크, 클라우드 환경 어디에서나 사이버 공격 행위를 실시간으로 탐지해 내부에 침입한 공격자를 매우 빠른 속도로 발견할 수 있는 점이다. 많은 조직들이 공격자의 내부 네트워크 침입 성공 후 이를 인식하기까지 상당히 오랜 시간을 쏟고 있다. 맨디언트 M 트렌드 보고서에 따르면, 2012년 기준 전 세계 2천개의 기업들이 공격자 침입 후 이를 발견하는데 평균 416일이 걸렸다고 보고하고 있다. 이러한 발견도 내부적으로 탐지를 하는 경우보다 이미 외부에 자료가 유출되거나 경제적 손실을 입은 후에 발견되는 경우가 많다.

그러나 사이버 디셉션 기술로 실제 내부 자산과 똑같은 트랩들을 설치해 놓으면 내부에 침입한 공격자를 상당히 빠른 시간 내에 발견할 수 있다. 트랩을 건드리는 순간 바로 알람이 뜨기 때문에 신속한 탐지로 기업 자산의 파괴, 데이터 도난 등의 전반적인 운영 관련 피해 및 경제적 피해를 최소화할 수 있다. 또한 특별한 보안 지식이 없는 사람도 매우 간결하게 공격자를 판별할 수 있으며, 99% 정확한 경보를 통해 오탐이 거의 없다고 볼 수 있다.

사이버 디셉션 기술은 내부 위협자를 찾아내는 데에도 효과적이다. 2015년 IBM의 조사에 따르면 모든 데이터 유출의 60%가 내부자 소행이었다. 이미 특정 권한을 가지고 있어 내부 데이터를 더 쉽게 유출할 수 있기 때문에 외부 공격자보다 더 위협적인 존재가 바로 내부자다.

사이버 디셉션 기술은 조직의 네트워크 상단에서 외부에서 침투해 들어오는 것을 감시하는 것이 아니라, 조직 네트워크의 전체 가시성을 갖고 이상 징후를 탐지하는 것이기 때문에 조직의 내부에서 악성 행위를 하는 내부자를 손쉽게 탐지할 수 있다.


‘디셉션그리드’ 도입 효과

마이너 악성코드가 엑스-배쉬(X-Bash), 비피(Beapy), 워너 마이너(Wanna Miner), 그라보이드(Graboid) 등과 같이 웜(worm)의 형태로 띄면서 초기 발견뿐만 아니라 네트워크 내에서의 전파되는 과정을 탐지하는 것도 중요한 보안 이슈가 됐다. 이를 탐지하기 위해 앞에서 거론한 디셉션 기술을 이용한 ‘디셉션그리드(DeceptionGRID)’라는 솔루션이 있다.

‘디셉션그리드’는 허니팟의 확장된 개념으로, 미끼와 트랩을 통해 APT 공격을 탐지하는 솔루션이다. 미끼는 실제 엔드포인트에 배포 및 설치하는 형태로, 가짜 데이터를 제공해 공격자들이 트랩에 빠지도록 유도한다. 트랩은 미끼를 통해 들어온 공격자들이 실자산이라고 인지할 수 있도록 설계한 엔드포인트로, 시스템과 서비스를 에뮬레이션한 것이다.

▲  ‘디셉션그리드’ 프로세스(출처: 쿤텍)

‘디셉션그리드’를 이용해 측면 이동이 가능한 마이너 악성코드에 감염된 사이트의 서버를 탐지한다고 가정하자. 이때 해커가 실 자산이라고 생각하고 접근하는 트랩은 서버, 워크스테이션뿐만 아니라 스위치와 같은 네트워크 장비 및 IoT장비를 에뮬레이트할 수 있다. 또한 생성한 트랩의 특성에 맞는 관련 포트 오픈 및 데이터를 저장할 수 있다. 따라서 다양한 트랩의 종류와 저장된 데이터로 인해 해커들은 실자산과 트랩을 구분할 수 없게 되며, 마이너 악성코드가 트랩으로 측면이동을 할 경우 ‘디셉션그리드’는 그것을 탐지해 보안 담당자에게 경고를 보내 공격에 즉시 대처할 수 있다.

마이너 악성코드는 네트워크 내부로 측면 이동할 때, SMB, WMI 와 같은 통신을 이용한다. ‘디셉션그리드’는 SMB 프로토콜의 Handshake 및 WMI의 연결을 탐지하기 때문에 마이너 악성코드의 확산을 막을 수 있다. 또한 해커들의 네트워크 내에 침투하여 행한 일련의 행위를 타임라인형식으로 보여주며, 각 공격에 사용된 악성코드 파일 다운로드 할 수 있다. 게다가 ‘디셉션그리드’는 솔루션 자체에서 공격에 사용된 악성파일의 API나 레지스트리 등의 정보를 분석할 수 있으며, 악성코드 분석 및 방화벽 솔루션과 연동돼 분석 및 차단이 가능하다.

이와 더불어 ‘디셉션그리드’를 활용할 경우 엔드포인트 수준의 탐지가 가능하다. 트랩은 DMZ 뿐 아니라 내부 유저망에도 생성 및 설치가 가능하다. 따라서 실자산 엔드포인트 사이에 트랩을 생성할 경우 사이트에서는 공격에 대해 신속하게 대처할 수 있으며, 해커는 자신의 공격이 탐지됐는지 여부를 알 수 없다.

트랩은 내부 공격자의 공격도 탐지 가능하다. ‘디셉션그리드’를 도입한 보안담당자 외의 사람들은 트랩의 존재를 알지 못한다. 따라서 악의적인 목적을 가지고 내부 자산 및 트랩에 스캔이나 연결을 시도할 경우 탐지되어 공격자의 IP 주소는 무엇이며, 어떤 포트로 연결을 시도해, 어떠한 행동을 했는지 등의 정보를 ‘디셉션그리드’에서 확인할 수 있고 이러한 행위를 한 공격자는 악성행위자로 간주된다. 또한 악성행위가 탐지됐을 때 담당자는 해당 사항을 이메일로 알림을 받을 수 있기 때문에 수시로 대시보드를 확인하지 않아도 되며, 기존에 있는 SIEM과의 연동도 가능하기 때문에 불필요한 로그 분석이 필요하지 않아 효율적이다.

마이너 악성코드로 암호화폐를 채굴한 후, 해커의 지갑으로 화폐를 보내는 과정에서 아웃바운드 연결이 ‘디셉션그리드’에 탐지되기 때문에 마이너 공격에 인한 피해를 방지할 수 있다.


결론

암호화폐의 인기가 예전 같지는 않지만 그래도 암호화폐에 대한 관심은 여전히 뜨겁고, 암호화폐를 대상으로 하는 사이버 공격도 계속해서 진화해 다양한 방식으로 금전적인 피해를 입히고 있다. 암호화폐와 관련된 모든 보안 문제를 해결하는 것은 사실상 불가능하며 이를 해결하기 위한 완전한 보안 대책도 존재하지 않는 것이 현실이다. 그러나 미끼와 트랩을 이용해 공격자를 기만하는 디셉션 테크놀로지를 활용할 경우 암호화폐를 공격하는 해커의 움직임을 조기에 탐지해낼 수 있고 더 나아가 해커의 이동을 막을 수 있어 피해가 확산되는 것을 방지할 수 있기 때문에 주목해야 한다. 이처럼 다양한 환경에서, 다양한 사이버 공격 행위를 즉각적으로 탐지할 수 있는 디셉션 테크놀로지는 암호화폐의 보안을 지키는 강력한 대안으로 떠오르고 있다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지