최근 몇 년간 크립토재킹은 가장 심각한 사이버 보안 위협 중 하나로 부상했습니다. 크립토재킹은 허가 없이 암호화폐를 채굴하기 위해 컴퓨팅 자원을 훔치는 사이버 공격입니다. 규제되지 않은 채굴은 금융 부문에 막대한 재정적 부담이 될 수 있으며, 막대한 손실을 보고하고, 손상된 하드웨어와 증가된 에너지 소비가 확인됨에 따라 조직은 더 무거운 운영 비용 영역에 진입합니다.
이 블로그에서는 크립토재킹이 무엇이며, 크립토재킹 공격 기법, 탐지 메커니즘 및 방어 전략이 무엇인지에 대해 논의할 것입니다. 또한 공격자들이 가장 흔한 침해 지표(IoC)를 포함한 다양한 공격 경로를 활용해 채굴 악성코드를 확산시키는 방법과 이러한 위협으로부터 보호하는 최선의 방안을 제시합니다.
크립토재킹이란 무엇인가?
크립토재킹은 컴퓨팅 장치를 탈취하여 암호화폐를 채굴하는 행위입니다. 이 과정에서 공격자는 악성코드를 삽입하여 표적 장치가 암호화폐 채굴에 필요한 복잡한 수학적 계산을 해결하도록 만듭니다. 채굴은 암호화폐 거래를 검증하고 블록체인에 기록하는 과정을 의미합니다.
채굴에는 많은 계산 능력이 필요합니다. 크립토재커는 시스템을 탈취하여 CPU와 GPU를 채굴에 사용합니다. 일반적으로 일반 컴퓨터 하드웨어로도 수익성이 있는 암호화폐(예: 모네로 - CPU 친화적 채굴 알고리즘)를 노립니다.
크립토재킹이 위험한 이유는?
크립토재킹은 탐지되지 않은 채 대규모로 장기간 실행되어 막대한 피해를 입힐 수 있어 조직에 매우 심각한 위협이 됩니다. 채굴에 CPU 자원을 사용함으로써 시스템 성능에 직접적인 영향을 미칩니다. 특히 24시간 가동되거나 용량 한계에 가까운 시스템에서 이러한 사용은 하드웨어 성능 저하를 초래할 수 있습니다.
이 위협은 단순히 단일 장치에 영향을 미치는 수준을 넘어섭니다. 크립토재킹 악성코드는 일반적으로 웜과 유사한 특성을 지녀 네트워크 전체로 확산됩니다. 그런 다음 네트워크 내에서 다른 취약한 시스템을 찾아 채굴 노드 네트워크를 구축합니다. 이러한 행동은 공격 표면을 확대하고 제거 과정을 복잡하게 만듭니다.
크립토재킹의 영향
크립토재킹은 비선형적인 재정적 영향을 미칩니다. 최대 용량으로 작동하는 다수의 시스템은 조직의 전기 비용 급증을 초래합니다. 지속적인 마모는 하드웨어 교체 비용으로 이어집니다. 이는 성능 저하뿐만 아니라 서비스 배포 시 상당한 시간 손실과 중단 가능성 증가로 이어질 수 있습니다. 비즈니스 영향에는 다음 사항도 포함됩니다:
- 규제 준수 위반 (무단 코드 실행으로 인한)
- 무단 채굴 활동으로 인한 법적 책임 노출 위험
환경적 영향도 주목할 만합니다. 공격자들이 데이터 센터나 클라우드 인프라를 표적으로 삼을 경우, 결과적으로 발생하는 크립토재킹 작업은 대규모로 진행되어 에너지 소비와 탄소 배출량을 크게 증가시킵니다.
크립토재킹의 일반적인 증상
시스템 관리자는 몇 가지 일반적인 징후를 통해 크립토재킹을 발견할 수 있습니다. 사용자가 실행 중인 애플리케이션이 없는 유휴 상태에서도 높은 CPU 사용률이 지속됩니다. 작업 관리자나 시스템 모니터링 도구에서 많은 리소스를 사용하는 알 수 없는 프로세스가 확인됩니다.
이러한 패턴은 일반적으로 네트워크 모니터링을 통해 드러납니다. 감염된 시스템은 채굴 풀이나 명령 및 제어 서버>(C2)로 지속적인 아웃바운드 연결을 유지합니다. 이러한 링크는 일반적으로 보안 팀이 식별해야 하는 마이닝 프로토콜과 관련된 표적 방법을 사용합니다.
영향을 받은 하드웨어는 물리적 증상을 보입니다. 시스템이 뜨거워지고 냉각 팬이 최대 속도로 작동합니다. 장치가 배터리로 작동하는 경우 배터리 수명이 훨씬 짧아집니다. 극단적인 경우 시스템이 충돌하거나 열 보호 기능으로 인해 다운됩니다.
브라우저를 통한 크립토재킹에는 특정 지표가 있습니다. 몇 개의 탭만 열려 있어도 웹 브라우저가 CPU 리소스를 최대치로 사용합니다. 해당 브라우저 탭이 닫힐 때까지 성능 저하가 지속됩니다.
크립토재킹 공격 유형
크립토재킹은 최근 몇 년간 많은 주목을 받았지만, 이 공격 유형은 단일한 성격을 지니지 않으며 다양한 방법을 통해 시스템에 침투하여 암호화폐를 채굴합니다. 이러한 유형의 공격은 배포 방식, 지속 방식 및 영향 수준이 다릅니다.
1. 브라우저 기반 크립토재킹
브라우저 기반 크립토재킹은 웹 브라우저 내에 채굴 코드가 구현되었음을 의미하며, 이는 해커가 웹사이트를 장악한 결과일 수 있습니다. JavaScript 채굴기는 사용자가 감염된 사이트를 방문할 때 자동으로 실행되며 시스템에 파일을 다운로드하지 않으므로 사용자에게 경고가 표시되지 않습니다.
2. 바이너리 기반 크립토재킹
바이너리 기반 공격에서는 공격자가 악성 실행 파일을 대상 시스템에 전달합니다. 이러한 채굴기는 독립적인 프로세스로 작동하며 (일반적으로) 합법적인 시스템 서비스로 위장합니다. 이들은 시스템 재부팅 후에도 유지되며 하드웨어에 직접 접근할 수 있어 브라우저 기반 방식보다 효율적인 경우가 많습니다.
3. 공급망 크립토재킹
공급망 크립토재킹은 정품 소프트웨어 유통 채널을 탈취하여 채굴 악성코드를 전달합니다. 공격자는 소프트웨어 패키지, 업데이트 또는 종속성에 채굴 코드를 추가합니다. 사용자가 영향을 받는 소프트웨어를 설치하거나 업데이트할 때마다 채굴 구성 요소가 디지털 서명과 함께 자동으로 배포됩니다.
4. 파일리스 크립토재킹
파일리스 크립토재킹은 디스크에 쓰기 대신 시스템 메모리에서 전체 프로세스를 사용합니다. 이러한 공격에서는 PowerShell 스크립트나 기타 Windows 기본 도구를 사용하여 채굴 코드를 다운로드하고 실행합니다. 디스크에 흔적이 남지 않기 때문에 탐지가 더욱 어려워집니다.
5. 클라우드 인프라 크립토재킹
클라우드 인프라를 대상으로 하는 공격으로, 잘못 구성된 클라우드 리소스와 컨테이너를 노립니다. 클라우드 인스턴스에서는 노출된 관리 인터페이스가 제공하는 공격 표면이나 부적절하게 구성된 취약한 인증 정보를 통해 채굴기 배포가 수행됩니다. 이러한 공격은 유출된 합법적인 계정 인증 정보를 사용하여 추가 클라우드 리소스를 프로비저닝함으로써 규모가 급속히 확대될 수 있습니다.
크립토재킹 공격은 어떻게 작동하나요?
크립토재킹에서 공격자는 채굴 코드를 배포하고 지속성을 유지하기 위해 다양한 기술적 단계를 활용합니다. 각 기법은 서로 다른 공격 벡터와 악용 방식을 지니지만, 채굴 성능을 극대화하여 탐지를 회피한다는 근본적인 접근 방식은 동일합니다.
브라우저 기반 주입 기법
브라우저 기반 크립토재킹의 첫 단계는 정상 웹사이트를 침해하는 것입니다. 도메인 크롤러 공격에서 해커들은 취약한 플러그인, 구식 콘텐츠 관리 시스템 또는 침해된 제3자 라이브러리를 통해 웹 페이지 내에 채굴용 자바스크립트 코드를 삽입합니다. 이 코드가 방문자의 브라우저 내에서 실행되면 WebSocket 연결을 통해 채굴 풀에 연결되어 채굴을 시작합니다. 이러한 스크립트는 종종 감지 회피를 위해 속도 제한 계층을 구축하고 코드 중복을 방지하기 위해 도메인 검증을 사용합니다.
바이너리 기반 공격
바이너리 공격은 피싱, 익스플로잇 또는 악성 다운로드로 초기 시스템 침해를 시작합니다. 이는 여러 시스템 폴더에 채굴 실행 파일과 지원 파일을 드롭합니다. 여기에는 채굴 풀 설정, 지갑 주소, CPU 사용량에 관한 정보가 포함됩니다. 레지스트리 키 추가, 작업 예약 또는 서비스 설치를 통해 지속성을 확보합니다.
공급망 침해 방법
이 유형의 공격은 소프트웨어 빌드 시스템, 업데이트 서버 또는 패키지 저장소를 표적으로 합니다. 공격자는 소스 코드나 빌드 스크립트에 채굴 구성 요소를 추가합니다. 이러한 패키지는 감염 전의 원래 목적을 유지하면서 백그라운드에서 채굴을 실행합니다. 공격자들은 탐지나 보안 통제를 회피하기 위해 신뢰할 수 있는 공급업체로부터 합법적으로 획득한 코드 서명 인증서를 반복적으로 사용해 왔습니다. 채굴 코드는 정상적인 설치 순서 이후에 실행됩니다.
파일리스 악성코드 접근 방식
파일리스 크립토재킹은 PowerShell이나 Windows Management Instrumentation(WMI) 같은 시스템 도구를 이용해 메모리 내에서 직접 채굴 코드를 실행합니다. 이러한 침해는 일반적으로 악성 스크립트나 매크로를 통해 발생하며, 해당 스크립트는 명령 서버에서 암호화된 채굴 구성을 다운로드하여 메모리 내에서 해독합니다. 이 공격은 WMI 이벤트 구독이나 장치 재부팅 후 채굴 코드를 재로드하는 레지스트리 실행 키를 통해 지속성을 확보합니다.
일반적인 크립토재킹 탐지 기법
크립토재킹 공격을 탐지하려면 다양한 시스템 구성 요소를 모니터링하고 여러 기술적 지표를 분석해야 합니다. 조직이 인프라 내에서 채굴 활동을 진정으로 식별하려면 계층적 접근 방식이 필요합니다.
1. 시스템 성능 지표
모든 것은 크립토재킹의 존재를 조사하기 위한 CPU 및 GPU 사용량 모니터링에서 시작됩니다. 프로세서 활동 수준을 모니터링하는 도구와 같은 도구는 정상 활동 범위를 벗어난 지속적인 높은 사용량을 감지하면 일반적으로 경보를 발령합니다. 온도 센서는 이상 온도 행동에 대한 정보를 제공합니다. 애플리케이션 모니터링은 부적절한 위치에서 실행 중인 리소스 집약적 애플리케이션을 보여줍니다.
2. 네트워크 트래픽 분석
두 번째 탐지 유형인 네트워크 기반 탐지는 마이닝 풀을 통한 통신에 더 주목합니다. 심층 패킷 분석을 통해 알려진 마이닝 풀 도메인 및 해외 IP 주소로의 연결이 드러났습니다. 트래픽 분석 도구가 채굴 프로토콜과 일치하는 일관된 데이터 패턴을 발견하면 문제가 발생하고 있음을 나타냅니다. 이는 채굴 서비스에 대한 SSL/TLS 암호화 연결을 탐지합니다.
3. 메모리 포렌식 접근법
메모리 분석 도구는 메모리의 스냅샷을 찍어 시그니처와 함께 코드 내에서 발생하는 상황을 분석합니다. 이들은 마이너 프로세스 주입 기법을 탐지하는 데 사용됩니다. 메모리 스캐너는 프로세스 메모리 내에서 암호화폐 지갑 주소와 마이닝 풀 URL을 식별합니다. 런타임을 분석함으로써 알려진 마이닝 알고리즘과 일치하기 시작하는 특정 코드 패턴을 찾을 수 있습니다.
4. PowerShell 활동 모니터링
PowerShell 모니터링은 파일리스 채굴 탐지를 의미합니다. 보안 도구는 PowerShell 명령 실행을 기록하고 분석합니다. 스크립트 블록 로깅에서 암호화폐 채굴 명령 및 구성. 모듈 로깅은 채굴에 사용되는 PowerShell 모듈 사용을 기록합니다. 트랜스크립션 로깅은 포렌식 분석을 위해 PowerShell 세션의 전체 세션 세부 정보를 캡처합니다.
5. 브라우저 행동 분석
브라우저 모니터링 도구는 브라우저가 자바스크립트를 사용하여 채굴을 수행하는지 여부를 자동으로 모니터링합니다. 확장 프로그램 분석기는 브라우저 확장 프로그램 내 채굴 코드를 탐지합니다. 웹 페이지에 모니터를 배치하여 코인 채굴을 위한 자바스크립트 실행을 감시합니다. 네트워크 요청 분석기는 채굴 서비스로의 웹소켓 연결을 포착합니다.
크립토재킹 방지를 위한 모범 사례
크립토재킹 시스템을 방지하려면 보안 제어와 다양한 운영 절차를 함께 적용해야 합니다. 이러한 관행은 초기 침해 및 채굴 시도를 막을 수 있는 방어 계층을 구축합니다.
1. 브라우저 보안 구성
브라우저 내에서 일부 보안 설정을 구성하여 자바스크립트가 특정 기능을 실행하지 못하도록 하는 것부터 시작합니다. 보안 팀은 이를 확인하고 모든 활성 채굴 코드의 실행을 차단하는 스크립트 차단 확장 프로그램을 사용합니다. 콘텐츠 보안 정책(CSP)을 통해 채굴 도메인을 차단합니다. 브라우저 정책을 통해 신뢰할 수 없는 환경에서 웹어셈블리 실행을 비활성화할 수 있습니다. 브라우저 업데이트는 채굴 코드 주입을 허용하는 취약점을 정기적으로 수정합니다.
2. 네트워크 모니터링 구현
네트워크를 방어하기 위해 조직은 인프라의 관련 지점에 모니터링 도구를 배포해야 합니다. 침입 탐지 시스템은 시그니처를 사용하여 마이닝 풀 트래픽을 인식합니다. 대신 측면으로 이동하는 마이닝 악성 코드는 네트워크 분할을 통해 차단됩니다. DNS 필터링은 대상 시스템이 채굴 풀로 식별된 도메인에 연결하는 것을 방지합니다. 대역폭 모니터링은 해킹당한 시스템의 비정상적인 트래픽 패턴을 탐지합니다.
3. 엔드포인트 보호 설정
엔드포인트 보안 도구는 채굴 악성코드로부터의 보호를 보장합니다. 애플리케이션 화이트리스트는 무단 채굴 프로그램 실행을 차단합니다. 채굴 프로세스가 탐지되면 해당 프로세스는 종료되거나 차단되며, 자체적으로 악성 코드를 유포할 수 없습니다. 리소스 사용량 경고는 의심스러운 시스템 활동을 식별합니다. 파일 무결성 모니터링은 시스템에 대한 무단 변경을 추적합니다. 메모리 보호는 채굴 프로그램이 사용하는 코드 주입 방식을 방해합니다.
4. 보안 인식 요구사항
사용자 교육을 위해 보안 인식 프로그램에 크립토재킹 위협을 포함해야 합니다. 교육에는 시스템 내 이상 행동 감지 방법이 포함됩니다. 직원은 인터넷에서 소프트웨어를 안전하게 다운로드하고 실행하는 방법을 훈련받아야 합니다. 사고 보고 프로세스는 조직이 의심되는 감염에 신속히 대응할 수 있도록 합니다.
5. 패치 관리 전략
패치 관리 전략은 알려진 취약점이 악용되는 것을 방지합니다. 보안 팀은 모든 시스템에 대해 정기적인 업데이트를 준비해야 합니다. 이를 통해 조직은 자동화된 패치 배포를 사용하여 제때에 보안을 확보할 수 있습니다. 패치가 적용되지 않은 시스템을 식별하고 전체 인프라에 걸쳐 패치 상태를 취약점 스캔으로 추적하는 것은 구성 관리에 의해 수행됩니다.
결론
크립토재킹은 복잡성과 규모가 지속적으로 진화하는 지속적인 사이버 보안 위협로 복잡성과 규모가 지속적으로 진화하고 있습니다. 컴퓨팅 자원을 고갈시키는 것 외에도, 이러한 공격은 운영 비용 증가, 하드웨어 손상, 그리고 발생할 가능성이 높은 규정 위반에 대한 벌금으로 인해 막대한 재정적 손실을 초래합니다. 마이너들은 날로 정교해지는 회피 기법을 사용하고 있기 때문에, 조직이 이를 탐지하고 차단하는 것은 어려운 과제입니다.
기업들은 클라우드 보안 태세를 통해 신속한 탐지 및 대응을 위한 솔루션 경로와 비용을 조율할 준비가 되어 있으며, 크립토재킹으로부터 보호를 제공합니다. 이러한 공격 경로, 브라우저 기반 주입, 파일리스 멀웨어 등을 인지함으로써 등에 대한 이해는 조직이 적절한 방어 체계를 구축하는 데 도움이 됩니다. 암호화폐 채굴 공격에 대한 견고한 방어 전략은 시스템 모니터링, 네트워크 분석, 직원 인식 제고로 구성됩니다.
크립토재킹 FAQ
크립토재킹은 공격자가 대상의 컴퓨팅 파워를 몰래 이용해 암호화폐를 채굴하는 공격입니다. 이 공격은 브라우저 스크립트, 악성 실행 파일 또는 파일리스 악성코드 등 세 가지 방식 중 하나로 채굴 코드를 전달하여 사용자의 허락 없이 암호화폐를 채굴합니다.
크립토재킹의 영향으로는 전기 요금 증가, 하드웨어 과부하로 인한 잠재적 손상, 시스템 성능 저하 등이 있습니다. 또한 조직은 생산성 손실, 다양한 규정 미준수 위험, 탐지 및 복구 보안에 대한 추가 비용 발생을 경험하게 됩니다.
크립토재킹 활동은 진정한 투자 자본 없이 암호화폐 네트워크의 전체 채굴 전력 비율을 증가시켜 암호화폐 시장에 영향을 미칩니다. 이러한 무단 채굴은 암호화폐 채굴 난이도에도 영향을 주며, CPU로 채굴 가능한 암호화폐의 시장 역학에도 영향을 미칠 수 있습니다.
크립토재킹 악성코드 제거 과정은 실행 중인 채굴 프로세스를 찾아 종료하고, 악성 파일을 삭제하며, 지속성 메커니즘을 제거하는 것을 포함합니다. 보안 솔루션을 사용하여 시스템을 스캔하고 감염을 제거한 후, 제거가 완료되었는지 조사하여 확인합니다.
CPU 사용량 모니터링, 채굴 풀로의 아웃바운드 네트워크 연결 감시, 채굴 악성코드의 코드 시그니처 스캔 등을 통해 많은 탐지가 가능합니다. 보안 도구는 의심스러운 프로세스, 비정상적인 네트워크 트래픽, 무단 리소스 사용을 탐지할 수 있습니다.
크립토재킹과 관련된 주요 범죄는 컴퓨터 접근법 위반으로, 이는 형사 고발로 이어집니다. 무의식적으로 크립토재킹 코드를 실행하는 조직은 규제 준수를 위반할 뿐만 아니라, 채굴 과정에서 무단 운영을 수행한 것에 대해 법적 책임을 질 수 있습니다.
