일반 사용자를 넘어 기업까지 공격하는 채굴 악성코드 '파워고스트(PowerGhost)'가 등장했다. 파워고스트 공격은 주로 남미 지역 기업 네트워크에 침입해 워크스테이션과 서버를 감염시켰으며 탐지와 치료를 어렵게 만드는 파일리스 형태를 띠는 것으로 파악됐다.
카스퍼스키랩은 파워고스트 공격이 채굴 악성코드를 활용한 표적형 공격의 최근 사례라고 7일 밝혔다.
이 추세가 지속되면 기업 컴퓨터 네트워크 속도가 느려지고 전반적인 비즈니스 프로세스가 피해를 입게 된다고 경고했다.
파워고스트는 기업 네트워크에 분산돼 워크스테이션과 서버를 감염시킨다. 감염은 익스플로잇 또는 원격관리도구를 통해 이뤄진다. 감염된 컴퓨터에서 악성코드 본체는 하드디스크 저장 과정을 거치지 않고 다운로드 및 실행된다. 공격자가 채굴 악성코드를 조작해 자동업데이트 방식으로 악성코드를 확산시키고 채굴 프로세스를 시작할 수 있다. 카스퍼스키랩이 파악한 현황에 따르면 파워고스트는 지금까지 브라질, 콜롬비아, 인도, 터키의 기업 사용자들이 공격 피해를 입었다.
채굴 악성코드는 공격 대상 PC 및 모바일 기기 컴퓨팅 성능을 동원해 코인을 만든다. 채굴 악성코드는 시스템 사용자 모르게 그 컴퓨터와 기기로 수익을 거두면서 피해를 입힌다. 카스퍼스키랩 연구원들은 이 채굴 악성코드 위협은 랜섬웨어를 대체하는 새로운 악성 소프트웨어 유형이라고 봤다. 채굴 악성코드 중에서도 개발자들이 더 많은 수익을 거두기 위해 표적 공격으로 전환하는 흐름을 보여주는 사례가 파워고스트라고 진단했다.
관련기사
- "암호화폐 도둑채굴 위협, 하반기도 지속"2018.08.07
- 상반기 악성코드 신흥주자는 '채굴도둑'2018.08.07
- "암호화폐 채굴 악성코드 피해자 작년 270만명"2018.08.07
- 파이어폭스, 암호화폐 도둑채굴 막는다2018.08.07
카스퍼스키랩 측은 파워고스트같은 채굴 악성코드 감염 위험을 줄일 조치로 모든 기기에 최신 소프트웨어 업데이트를 설치할 것, 취약점을 자동 탐지해 패치를 설치하는 솔루션을 사용할 것을 권고했다. 대기열 관리시스템, POS 단말기, 자판기같은 표적도 암호화폐 도둑채굴에 동원될 수 있다고 지적했다. 애플리케이션 제어, 행위기반 탐지 및 익스플로잇 방지 구성요소를 강화한 전용 보안솔루션을 사용하는 애플리케이션 행위 모니터링과 악성파일 실행 차단을 제안했다. IT팀과 일반 직원에게 보안 교육을 실시하고 중요 데이터를 분리 보관하며 접근을 제한하라고 조언했다.
이창훈 카스퍼스키랩코리아 대표는 "기업을 겨냥한 파워고스트 공격은 채굴 악성코드 설치가 목적이며 그로 인해 새로운 우려가 발생하고 있다"며 "파워고스트를 조사한 결과 사이버 범죄자들은 일반 사용자를 넘어 기업으로도 관심을 돌리고 있어, 채굴 악성코드가 기업에도 위협이 되고 있다"고 말했다.