크립토 멀웨어 제거는 발견만큼이나 어려운 경우가 많습니다. 열 번 중 아홉 번은 그렇다고 할 수 있습니다.
혹시 컴퓨터 성능이 갑자기 저하되는 것을 느끼신 적이 있나요?
대부분의 사람들은 별다른 주의를 기울이지 않을 것입니다! 간헐적인 속도 저하에 대해 심각하게 생각하는 사람은 극소수에 불과하며, 이마저도 대개 운영 체제의 ‘일반적인’ 문제로 간주해 버립니다.
하지만 좀 더 자세히 살펴보면, 대역폭을 과도하게 사용하고 시스템 성능을 저하시키는 악성 프로그램일 가능성을 배제할 수 없습니다.
크립토 멀웨어란 무엇일까요?
크립토 멀웨어는 제3자가 몰래 심어놓은 디지털 ‘흡혈귀’와 같아서, 사용자의 허락 없이 컴퓨터 리소스를 소모하는 것으로 생각할 수 있습니다.
이러한 행위를 흔히 ‘크립토재킹’이라고 부릅니다.
이미 언급했듯이, 크립토 멀웨어의 작동 방식 때문에 감지하기가 매우 어렵습니다. 컴퓨터 팬 소리, 속도, 전반적인 시스템 성능에 대한 기본적인 이해가 없다면, 이러한 변화를 알아차리기가 쉽지 않습니다.
이는 사용자가 직접 제거하지 않는 한, 컴퓨터가 작동하는 동안 백그라운드에서 암호화폐 채굴 프로그램을 계속 실행한다는 의미입니다.
간단히 말해, 암호화폐 채굴기는 거래를 검증하고 새로운 코인을 발행하여 암호화폐 생태계에 기여하는 프로그램입니다. 이는 운영자에게 꾸준한 수입을 제공할 수 있습니다.
하지만, 이러한 프로그램이 관리자의 적절한 허가 없이 시스템에 설치된다면 ‘크립토 멀웨어’가 되어 사이버 범죄 행위로 간주됩니다.
좀 더 쉬운 비유를 들어보자면, 누군가가 여러분의 마당을 무단으로 사용하여 과일나무를 심고, 여러분의 동의 없이 집에서 물과 다른 자원을 가져다 사용하면서, 여러분에게 과일이나 금전적인 보상을 전혀 주지 않는 상황과 비슷하다고 할 수 있습니다.
이것이 바로 현실 세계에서의 크립토재킹과 유사한 상황입니다.
크립토 멀웨어는 어떻게 작동할까요?
대부분의 다른 멀웨어와 작동 방식이 비슷합니다!
바이러스에 감염된 파일을 일부러 찾아서 설치하는 사람은 없을 겁니다.
그러나 크립토 멀웨어는 아주 일상적인 방법으로 우리에게 다가옵니다.
- 이메일에 포함된 링크를 클릭
- 보안되지 않은 웹사이트 방문
- 신뢰할 수 없는 출처에서 파일 다운로드
- 의심스러운 광고 클릭
또한, 악의적인 행위자는 사회 공학적 기법을 사용하여 사용자가 악성 코드를 다운로드하도록 유도할 수도 있습니다.
일단 설치되면, 크립토 멀웨어는 사용자가 이를 감지하고 제거할 때까지 시스템 리소스를 계속해서 사용합니다.
크립토 멀웨어 감염의 징후로는 팬 속도 증가(소음 증가), 발열 증가, 성능 저하 등이 있습니다.
크립토 멀웨어 vs. 크립토 랜섬웨어
크립토 랜섬웨어는 크립토 멀웨어와는 달리 훨씬 더 눈에 띄는 위협입니다. 일단 시스템에 설치되면, 사용자의 시스템 접근을 차단하고, 몸값을 지불해야만 접근을 허용합니다.
일반적으로 랜섬웨어는 연락할 전화번호나 이메일 주소를 표시하거나, 몸값 요구에 따르기 위한 계좌 정보를 제공합니다.
때로는 사용자들이 사기꾼의 요구에 응하여 시스템 접근 권한을 되찾으려고 시도하기도 합니다. 하지만 이러한 ‘요청’에 응한다고 해서 안전이 보장되는 것은 아니며, 오히려 앞으로 더 큰 공격의 표적이 될 수도 있습니다.
반면에 크립토 멀웨어는 눈에 보이는 위협은 아닙니다. 백그라운드에서 조용히 작동하며, 사이버 범죄자에게 지속적인 수동적 수입을 제공하기 위해 시스템 리소스를 소모합니다.
주요 크립토 멀웨어 공격 사례
다음은 디지털 세계에 큰 파장을 일으켰던 몇 가지 주요 사례입니다.
#1. 그래보이드
그래보이드(Graboid)는 팔로알토 네트워크 연구원들에 의해 발견되었으며, 2019년 보고서에 공개되었습니다. 이 공격에서 공격자들은 승인이 필요 없는 ‘무임승차’를 위해 약 2,000개의 보안되지 않은 도커(Docker) 호스트를 사용했습니다.
공격자들은 감염된 도커 이미지를 손상된 호스트에 다운로드하고 배포하라는 원격 명령을 보냈습니다. 이 ‘다운로드’에는 다른 취약한 시스템과 통신하고 이를 위험에 빠뜨리는 도구도 포함되어 있었습니다.
다음으로, ‘수정된’ 컨테이너는 네 개의 스크립트를 다운로드하여 순차적으로 실행했습니다.
이 스크립트는 반복되는 250초 세션 동안 모네로 채굴기를 무작위로 작동시켜 네트워크를 통해 악성 코드를 확산시켰습니다.
#2. 파워고스트
2018년 카스퍼스키 연구소에서 공개한 파워고스트(PowerGhost)는 주로 기업 네트워크를 대상으로 하는 파일리스 암호화 멀웨어입니다.
파일리스 멀웨어는 시스템에 흔적을 남기지 않고, 탐지를 피하면서 시스템에 침투할 수 있다는 장점이 있습니다. 파워고스트는 WMI(Windows Management Instrumentation) 또는 악명 높은 워너크라이(WannaCry) 랜섬웨어 공격에 사용된 이터널블루(EternalBlue) 익스플로잇을 통해 장치에 로그인합니다.
일단 로그인에 성공하면, 다른 채굴 프로그램(있는 경우)을 비활성화하여 공격자가 최대의 수익을 얻으려고 시도했습니다.
많은 리소스를 소모하는 것 외에도, 파워고스트의 변종 중 하나는 다른 서버를 대상으로 하는 DDoS 공격을 호스팅하는 것으로도 알려져 있습니다.
#3. 배드쉘
배드쉘(BadShell)은 2018년 코모도 사이버 보안 부서에서 발견한 또 다른 파일리스 암호화 웜입니다. 이 웜은 시스템 저장소에 흔적을 남기지 않고 CPU와 RAM을 통해 작동합니다.
배드쉘은 악성 명령을 실행하기 위해 Windows PowerShell에 연결되었습니다. 또한 Windows 레지스트리에 이진 코드를 저장하고 Windows 작업 스케줄러를 사용하여 암호화폐 채굴 스크립트를 실행했습니다.
#4. 프로메테이 봇넷
2020년에 처음 발견된 프로메테이(Prometei) 봇넷은 공개된 Microsoft Exchange 취약점을 이용하여 모네로 채굴을 위한 암호화 멀웨어를 설치했습니다.
이 사이버 공격은 이터널블루, 블루킵, SMB 및 RDP 익스플로잇 등과 같은 다양한 도구를 사용하여 네트워크를 통해 보안되지 않은 시스템을 공격했습니다.
프로메테이 봇넷은 (대부분의 악성 코드와 마찬가지로) 여러 버전을 가지고 있었으며, 사이버리즌(Cybereason) 연구원들은 그 기원을 2016년까지 거슬러 올라갑니다. 또한 Windows 및 Linux 시스템을 감염시키는 크로스 플랫폼 존재도 가지고 있습니다.
크립토 멀웨어를 감지하고 방지하는 방법은?
크립토 멀웨어를 확인하는 가장 좋은 방법은 시스템을 주의 깊게 관찰하는 것입니다. 팬 소리가 커지거나 성능이 갑자기 저하되면 크립토 멀웨어에 감염되었을 가능성이 있습니다.
하지만 운영 체제는 복잡한 시스템이기 때문에 이러한 변화가 백그라운드에서 조용히 진행되는 경우가 많고, 이러한 미묘한 변화를 알아차리기 어려울 수 있습니다.
이러한 상황을 고려하여, 다음은 사용자의 안전을 지키는 데 도움이 될 수 있는 몇 가지 지침입니다.
- 시스템을 항상 최신 상태로 유지하십시오. 오래된 소프트웨어에는 사이버 범죄자들이 악용할 수 있는 취약점이 있는 경우가 많습니다.
- 프리미엄 백신을 사용하십시오. 모든 장치에 좋은 백신 소프트웨어가 필요한 이유는 아무리 강조해도 지나치지 않습니다. 게다가 이러한 공격은 운영 체제(Mac도 공격 대상입니다!)와 장치 종류(스마트폰, 태블릿 포함)에 관계없이 발생할 수 있습니다.
- 무분별하게 링크를 클릭하지 마십시오. 호기심은 때때로 부당하게 이용당하는 인간 본성입니다. 의심스러운 링크는 검색 엔진에 복사하여 붙여 넣고, 추가적인 주의가 필요한지 확인하는 것이 좋습니다.
- 브라우저 경고를 무시하지 마십시오. 웹 브라우저는 10년 전보다 훨씬 더 발전했습니다. 충분한 주의 없이 경고를 무효화해서는 안 됩니다. 또한, HTTP 웹사이트는 가급적 피하는 것이 좋습니다.
- 끊임없이 정보를 얻으십시오. 악성 도구는 지속적으로 업데이트되고 있으며, 공격 방식 또한 진화하고 있습니다. 따라서 최신 해킹 사례에 대해 계속해서 정보를 습득하고, 동료들과 공유하는 것이 좋습니다.
크립토 멀웨어의 확산 증가
크립토 멀웨어는 암호화폐 채택이 증가함에 따라 탐지가 어렵다는 이유로 계속해서 증가하고 있습니다.
일단 시스템에 설치되면, 크립토 멀웨어는 사이버 범죄자에게 큰 노력 없이 계속해서 수입을 제공합니다.
그러나 위에서 언급한 인터넷 사용 모범 사례는 사용자를 안전하게 지키는 데 도움이 될 수 있습니다.
또한, 이미 논의한 바와 같이, 모든 장치에 사이버 보안 소프트웨어를 설치하는 것이 가장 좋은 방법입니다.
다음으로, 초보자를 위한 사이버 보안 기본 사항 소개를 확인해 보십시오.