한국 사용자들만 노렸다고 해서, 일명 한국형으로 불리는 악성코드가 국내 비트코인 사용자들까지 노리는 모양이다.
처음에는 온라인 게임 계정 탈취를 목적으로 제작됐던 한국 사용자 겨냥 악성코드는 기업 관리자 계정 탈취, 파밍, 분산서비스거부(DDoS) 공격을 유발하는 형태로 진화를 거듭해왔다. 최근에는 비트코인 채굴용 악성코드로 탈바꿈해 국내 사용자들이 잠든 밤을 노리는 중이다.
21일 최상명 하우리 지능형보안연구팀장은 중국 소재 해커가 제작한 것으로 추정되는 한국형 악성코드가 2011년 6월 최초로 등장한 데 이어 수년째 진화를 거듭해 왔다고 전했다.
최 팀장에 따르면 수년간 관련 악성코드를 추적한 결과 동일한 한국 사용자 겨냥 악성코드는 동일한 구조에 여러 기능이 추가되는 형태로 바뀌어 왔다. 악성코드 내부 기본 코드가 같고 기능만 넣었다 뺐다 할 수 있게 만들어졌다는 것이다.
이 악성코드가 처음 등장할 당시에는 온라인 게임 계정 탈취, 특정 서버 이미지 파일 요청 및 다운로드 등에 초점이 맞춰졌다.
그러나 1년 뒤인 2012년 6월에는 지상파 3사를 포함해 29곳을 대상으로 특정 기업 관리자 계정 탈취를 노리는 기능이 추가됐다.
지난해 7월에는 공격 대상이 40여곳으로 확대됐으며, 감염된 PC를 사용하는 기업 임직원, 서버 관리자가 자사 서버에 접속하기 위해 ID, 비밀번호를 입력하면 이 정보가 해커가 구축해 놓은 C&C서버로 유출됐다.
같은 해 9월에는 여기에 인터넷 뱅킹 사용자들의 금융정보를 노리는 파밍 기능이 추가됐다. 10월에는 특정 서버 이미지 파일 요청 및 다운로드 기능이 추가되는 한편 DDoS 공격 기능까지 추가됐다. 당시 안랩은 국내 16개 웹사이트를 대상으로 DDoS 공격이 발생했으며 감염이 확인된 좀비PC대수만 1만대를 넘어섰다고 밝힌 바 있다.
2011년부터 이어져 온 악성코드가 동일 조직이나 그룹이 제작해서 뿌린 것으로 추정되는 이유는 거의 1년마다 주기적으로 기능이 추가되고 있기 때문이다.
익명을 요구한 국내 보안업계 관계자는 만약 이 악성코드의 소스코드가 모두 공개됐었다면 여러 변종을 통한 공격이 수시로 이뤄졌을 텐데 일정한 기간을 거쳐 변종이 나타나고 있는 것으로 봐서는 동일 조직 소행일 가능성이 높다고 말했다.
이 악성코드는 지난해 11월부터 올해 초까지 비트코인 채굴을 위한 기능을 추가하고 있다. 좀비PC가 가진 리소스를 악용해 비트코인을 몰래 채굴하는데 사용하고 있는 것이다. 한국 사용자들의 PC는 CPU, GPU 등이 고사양인데다가 통신속도 또한 높은 수준이기 때문에 공격자들에게는 군침 도는 먹잇감이다.
비트코인 채굴 기능을 가진 악성코드는 해외에서는 '제로엑세스' 라는 이름으로 수년전부터 악명을 떨친 바 있다. 해커들 사이에 돈벌이가 된다고 판단했기 때문이다. 지난해 12월 마이크로소프트(MS)는 유로폴 유럽 사이버범죄센터, 미국 연방수사국(FBI)과 손잡고 제로액세스 봇넷(좀비PC 네트워크) 퇴치에 나서기도 했다.
지난해 말부터 일반 사용자들이 비트코인을 채굴하기 위해서는 '마이닝풀'에 가입해야 한다. 마이닝풀은 비트코인을 채굴하기 위한 여러 사용자들이 접속해 자신의 컴퓨터 리소스를 제공하는 일종의 채굴모임이다.
최 팀장에 따르면 마이닝풀에 접속하기 위해 한국형 악성코드 제작자가 사용한 계정은 총 6개다. 이를 통해 1주일 간 채굴한 비트코인을 수집해 환전하니 1주일에 약 1천600만원을 벌어들이고 있는 것으로 추산된다.
비트코인 채굴용 악성코드는 CPU나 GPU의 연산능력을 활용한다. 때문에 별다른 작업을 하지 않는데 CPU 점유율이 90%를 넘거나 느려질 경우 감염을 의심해봐야 한다.
관련기사
- 악성코드 감염 알림 메시지로 위장한 스미싱 주의2014.02.22
- 금융정보 훔치는 악성코드, 세일즈포스 계정 노려2014.02.22
- 31개국 주요 기관 노린 대형 악성코드 '마스크' 발견2014.02.22
- POS에서 카드 정보 훔치는 악성코드 등장2014.02.22
최 팀장은 현재 한국형 악성코드가 과거에 DDoS 공격을 유발하는 좀비PC가 3만대 정도 추정되는 것으로 미뤄 이 정도 규모에서 비트코인 채굴이 진행될 것으로 본다고 분석했다.
악성코드 변종에 여러가지 기능이 추가되는 것은 공격자들이 오래 전부터 써왔던 수법이다. 이와 관련 김동우 이글루시큐리티 선행기술연구소장은 공격자들이 보안분석가들이 분석하는데 시간이 오래걸리도록 여러가지 난독화 기능을 적용하고, 최근에는 CPU가 아니라 GPU를 통해 악성코드를 실행하기까지 하고 있다고 말했다.