가상화폐 채굴 악성코드, 어떻게 변화했나

가상화폐 채굴 악성코드, 어떻게 변화했나 AhnLab 분석연구팀 정진성 수석연구원 l 2019-07-25     다른 악성코드에 비해 랜섬웨어와 가상화폐 채굴(Mining) 악성코드, 일명 마이너(Miner) 악성코드는 사용자가 직접적인 피해를 체감하게 되는 위협이다. 컴퓨터에 저장한 파일을 사용할 수 없게 되거나 컴퓨터가 느려지기 때문이다. 기업 보안 담당자뿐만 아니라 일반 사용자들도 랜섬웨어와마이너 악성코드에 관심을 가져야 하는 이유도 이 때문이다.     이와 관련해 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)가 최근 2019년 상반기에 유포된 마이너 악성코드와 감염 피해 현황을 발표했다. 이 글에서는 상반기 마이너 악성코드의 동향에 대해 살펴본다. 감염 후 파일을 암호화하고 바탕화면에 돈을 요구하는 화면을 띄우는 랜섬웨어와 달리, 마이너 악성코드는 백그라운드에서 동작하며 컴퓨터 성능을 떨어뜨리기 때문에 사용자들이 피해를 입고도 간과하기 쉽기 때문이다.   ASEC이 집계한 바에 따르면, 2019년 상반기에 확인된 마이너 악성코드 수(샘플 수 기준)는 121만8천 건으로, 지난해 같은 기간 186만8천 건 대비 34.7% 감소했다. 감염 보고 건수 또한 22만1천 건으로, 지난해 같은 기간 220만5천 건 보다 무려 89.9% 급감했다.   [그림 1] 2019년 상반기 마이너 악성코드 추이(*샘플 건수 및 감염 보고 건수)   마이너 악성코드 세력 변화, 왜?   2017년 말, 비트코인 등 주요 가상화폐(암호화폐, Cryptocurrency)의 가치가 급작스럽게 상승하면서 마이너 악성코드 샘플 수와 감염 건수가 동반 상승했다. 그러나 2018년부터는 가상화폐 시세와 마이너 악성코드 추이가 꼭 비례하지는 않았다([그림 2] 참고). 이러한 추세는 올해 상반기 들어 더욱 뚜렷하게 드러났다. 위의 [그림 1]에서 볼 수 있는 것처럼 올해 3월부터 비트코인 가치가 꾸준히 상승세를 보이고 있음에도 불구, 마이너 악성코드 샘플 수와 감염 건수는 오히려 급감한 것.   [그림 2] 2018년 마이너 악성코드 및 비트코인 시세 추이   예전과 달라진 원인을 단순하게 규정하기는 어렵지만, 예전에 비해 가상화페 가치가 하락한 것이 한 가지 원인으로 짐작된다. 지난 2017년 하반기 비트코인 가치가 급격히 상승하면서 2017년 4분기와 2018년 1분기 마이너 악성코드의 증가도 정비례했다. 그러나 2017년말 비트코인 시세가 최고점을 찍은 이후 등락을 계속하면서도 예전만큼의 화력을 보여주지 못 하면서 마이너 악성코드도 더 이상 확산되지 않는 모습이다.   그럼에도 불구하고 안심하긴 이르다, 왜?   올해 들어 마이너 악성코드가 전반적으로 감소하는 양상을 보인다는 것은 분명 반가운 소식이다. 특히 감염 건수가 감소했다는 것은 예전에 비해 사용자들이 적절한 사전 조치를 실천하고 있다는 의미로 해석할 수도 있기 때문이다.   그러나 이것은 어디까지나 상반기 통계일 뿐, 앞으로 마이너 악성코드가 어떤 식으로 변모할지 누구도 장담할 수 없다. 또 가상화폐 시세가 예전만 하지 못하다 해서 마이너 악성코드가 완전히 약화될 것으로 속단하기는 이르다. 경기종합지수처럼 가상화폐 가치가 선행지수 지표가 된다면 하반기에는 마이너 악성코드 샘플 수와 감염 보고 건수가 증가할 가능성도 배제할 수 없기 때문이다.   실제로 더 많은 가상화폐 채굴을 위해 기업의 고사양 서버 시스템을 노리는 마이너 악성코드가 증가하고 있어 기업 보안 담당자들의 지속적인 관심이 필요하다. 또 최근 PC뿐만 아니라 스마트폰을 노리는 마이너 악성코드도 등장하고 있어 개인 사용자들의 주의가 필요하다.   ► ‘스마트폰까지 파고든 가상화폐 채굴 악성코드’ 더 보기   마이너 악성코드에게 인기(?)있는 가상화폐는?   지난 상반기 동안 국내에서 유포된 마이너 악성코드들은 주로 모네로(Monero)를 채굴하는 알고리즘(Cryptonight)이나 채굴하는 가상화폐가 무엇이든 비트코인으로 보상해주는 채굴 알고리즘(Nicehash)을 적용하고 있었다.   2019년 상반기에 비트코인 가치가 다시 상승하면서 일부 공격자들이 채굴 알고리즘에 재빠른 변화를 준 것으로 보인다. 비트코인에 이어 모네로가 공격자들에게 인기를 끄는 이유는 다른 가상화폐에 비해 거래 시 익명성을 보장해 범죄에 악용할 수 있기 때문이다.   마이너 악성코드는 주로 광고성 프로그램(애드웨어)를 통해 사용자 PC에 숨어든다. 국내 기업의 시스템을 감염시킨 마이너 악성코드의 상당수는 위에서 언급한, 비트코인으로 보상해주는 채굴 알고리즘(Nicehash)을 사용하고 있는 것으로 확인됐다.   따라서 개인 사용자뿐만 아니라 기업에서도 마이너 악성코드 감염 예방을 위해 각별한 주의가 필요하다. 이와 관련해 안랩은 오는 8월 6일 발행되는 자사 기업 보안 온라인 매거진 ‘월간 안(安)’ 8월호에서 ‘기업 보안 관리자를 위한 2019년 상반기 랜섬웨어 및 마이너 악성코드 동향’에 관해 상세히 소개할 예정이다.