웹브라우저를 기반으로 작동하는 암호화폐 도둑 채굴 악성코드 중 하나인 '코인하이브'가 여전히 극성을 부리고 있다. 코인하이브 악성코드에 감염돼 사용자 몰래 암호화폐 채굴에 동원되고 있는 PC가 전 세계적으로 1만5천 대에 이르는 것으로 확인됐다. 이런 종류의 악성코드는 자바스크립트 코드 몇 줄만 다운로드 되면 작동하기 때문에 특정 웹사이트에 접속하는 것만으로도 감염될 수 있어 주의가 필요하다.
사이버 위협 인텔리전스(CTI) 전문 업체 에이아이스페라는 최근 블로그를 통해 이 같은 내용의 보고서(☞링크)를 공개했다.
에이아이스페라는 자체 개발한 CTI 검색 엔진 '크리미널 IP'를 통해 해커들이 즐겨 사용하는 크립토재킹 악성코드인 코인하이브의 감염 PC를 살펴봤다.
크립토재킹은 암호화폐(Cryptocurrency)와 하이재킹(Hijacking)의 합성어로, 다른 사람의 컴퓨터 리소스를 무단으로 사용해 암호화폐를 채굴하는 행위를 말한다. 일명 도둑 채굴이라고도 한다.
크리미널 IP의 에셋 서치에서 '코인하이브 마이너 봇'을 검색한 결과 1만4천590대의 서버가 검색된 것을 확인할 수 있었다. 에이아이스페라 측은 "검색된 IP주소는 모두 코인하이브에 감염된 서버로 예상할 수 있다"고 설명했다.
코인하이브는 브라우저 마이닝 악성코드로, 자바스크립트 코드 단 두세줄만 삽입해도 손 쉽게 암호화폐 채굴 PC로 감염시킬 수 있다. 사이버 범죄자들은 악성 링크가 포함된 스팸 이메일을 보내 피해자가 컴퓨터에 크립토마이닝 자바스크립트 코드를 로드하는 웹사이트 링크를 클릭하도록 유도한다.
웹사이트에 방문자가 접속하면 코인하이브 자바스크립트가 활성화 되고, 방문자의 CPU 성능을 활용해 코인 채굴을 시작된다.
코인하이브는 주로 추적이 어려운 다크코인으로 분류되는 '모네로(XMR)'를 채굴한다. "이러한 방식으로 10~20명의 활성화된 마이너가 있는 경우 평균적으로 약 0.3 XMR(109 달러)의 월 수익을 내는 것으로 알려져 있다"고 에이아이스페라 측은 설명했다.
이 외에도 딥마이너, 코인MP마이너 같은 브라우저 마이닝 악성코드들도 여전히 자바스크립트 채굴봇을 감염시켜 활동하는 것으로 확인됐다. 크리미널 IP 에셋 서치 검색 결과 딥마이너는 50개, 코인MP는 389개의 IP 주소가 검색됐다.
관련기사
- 브라우저 기반 암호화폐 도둑채굴 급증…왜?2020.08.26
- "엔비디아 GPU 채굴 제한 풀어드립니다"...알고보니 악성코드2022.02.24
- 구글클라우드, 암호화폐 채굴 멀웨어 탐지 기능 프리뷰 출시2022.02.14
- 중국서 암호화폐 채굴용 그래픽카드 다량 중고로 풀려2022.06.22
에이아이스페라 측은 "딥마이너의 감염 PC를 살펴본 결과 예전에 비해서 많이 줄어들긴 했지만 여전히 많은 PC가 감염되어 있다는 것을 확인했다"며 "이러한 방식으로 사용자 몰래 설치하는 암호화폐 채굴 악성코드가 빠르게 증가하고 있고 크립토재킹 공격을 받은 기업은 네트워크가 중단되거나 클라우드 요금 폭탄을 맞을 수도 있다"고 주의를 당부했다.
김휘강 고려대 정보보호 대학원 교수 겸 에이아이스페라 공동 창업자는 "크리미널IP는 검색 순간의 실시간 정보를 보여주기 때문에 실제 감염된 PC수는 더 많다고 봐야 한다"며 한국에서도 수십 대의 감염 PC가 있는 것을 확인했다"고 말했다. 이어 "자바스크립트 크랩토재킹 악성코드는 안티바이러스(백신) 프로그램을 사용해도 쉽게 탐지가 가능하고, 인터넷쿠키를 수시로 지워주면 나도모르는 사이 설치된 자바스크립트 크랩토재킹 코드를 없애는 데 도움이 될 수 있다"고 조언했다.