암호화폐 채굴이 대중화되면서 사이버 공격자들은 크립토재킹(Cryptojacking)이라는 공격 기법을 개발해 악용하고 있습니다. 이 공격 기법은 2017년도에 스타벅스테슬라 등 여러 저명한 기업이 피해자로 보고되면서 주목 받기 시작했습니다.  2019년 말, 암호화폐 시세가 급격히 변동하면서 크립토재킹 피해가 감소했으나, 최근 들어 크립토재킹 위협이 다시 증가하고 있습니다. 따라서 모두가 이 주제에 대한 인식을 높이고 주의해야 합니다. 

이 글에서는 크립토재킹 정의, 공격 방식, 공격을 탐지하는 방법 및 이를 예방하는 방법에 대해 알아보겠습니다.

크립토재킹 정의

크립토재킹이란, 사이버 공격자가 악성 링크를 사용하여 피해자의 컴퓨터를 감염시키고 리소스를 몰래 사용하여 암호화폐를 채굴하는 공격을 말합니다. 이 용어는 Cryptocurrency(암호화폐)와 Hijacking(하이재킹) 을 합성한 단어입니다. 크립토재킹 공격 유형은 피해자로부터 정보나 자금을 직접 훔치는 것이 아닌, 피해자의 컴퓨터나 장치를 감염시킨 후 시스템 처리 능력을 하이재킹하여  비트코인, 이더리움, 모네로, 데로와 같은 암호화폐를 채굴하는 전통적이지 않은 해킹 유형입니다. 

이 공격의 피해자는 자신의 컴퓨팅 리소스가 암호화폐 채굴에 활용되고 있다는 사실을 알아채지 못합니다. 피해자는 PC의 시스템 성능이 알 수 없는 이유로 저하되거나, 쿨링 팬의 소음이 갑자기 증가하는 등의 증상을 느낄 수 있습니다. 그러나 이러한 징후는 일상적인 기술적 결함이나 사소한 문제로 넘겨지는 경우가 많습니다. 이러한 특징으로 이 공격은 ‘Silent Crypto Miner(조용한 암호화폐 채굴기)’ 라고도 합니다. 그렇다면 이 조용한 암호화폐 채굴기는 어떻게 작동할까요? 

크립토재킹은 어떻게 작동하나요?

크립토재킹 공격은 암호화폐를 채굴하기 위해 피해자 몰래 컴퓨터에 침투하는 것으로 시작됩니다. 크립토재킹의 작동 방식에 대한 자세한 설명은 다음과 같습니다.

크립토재킹 공격자가 피해자의 컴퓨터 리소스를 사용해 암호화폐를 채굴하는 방법에 대한 인포그래픽
크립토재킹 공격자가 피해자의 컴퓨터 리소스를 사용해 암호화폐를 채굴하는 방법에 대한 인포그래픽

1. 공격자는 피해자의 장치에 악성 링크를 배포합니다.

크립토재킹 첫 번째 단계는 피해자에게 악성 링크를 전달하는 것입니다. 악성 링크는 다양한 수단을 통해 전달할 수 있지만 가장 일반적인 방법은 다음과 같습니다.

  1. 악성 링크가 포함된 스팸성 이메일 보내기 
  2. 온라인 광고에 자바스크립트 코드 삽입
  3. 겉으로 봤을 때 합법적인 응용 프로그램에 암호화폐 채굴 자바스크립트를 심어 위장

사이버 공격자는 소셜 엔지니어링 기법을 이용해 피해자의 친구, 관리자 또는 CEO인 것처럼 위장하여 감염된 악성 자바스크립트 링크가 삽입된 이메일을 발송하고 클릭을 유도합니다. 

이메일 외에도 온라인 광고를 악용해 클릭을 유도하기도 합니다. 다양한 웹사이트에서 접할 수 있는 온라인 광고는 대부분 정상처럼 보이기 때문에 순진한 인터넷 이용자들은 공격의 타겟이 되기 쉽습니다. 심지어 어떤 공격자는 공격을 위한 모바일 어플을 정성스럽게 만들기도 합니다.

2. 피해자는 인식하지 못한 상태로 암호화폐 채굴 자바스크립트를 설치하고 실행합니다.

공격자는 악성 링크를 만들어 다양한 수단으로 배포한 다음 피해자가 미끼를 물기를 기다리기만 하면 됩니다. 피해자는 겉보기에 무해해 보이는 웹 사이트를 탐색하거나 광고를 클릭하는 것 만으로 악성 코드에 감염된다는 사실을 인식하지 못합니다. 이러한 악성 링크를 클릭하고 나면 암호화폐 채굴 소프트웨어는 피해자가 인식하지 못하는 상태에서 컴퓨터에 자동으로 설치됩니다. 

보통 컴퓨터에 새 응용 프로그램이나 소프트웨어를 설치하면 설치를 위한 관리자 권한을 요청합니다. 그러나 이 암호화폐 채굴 소프트웨어는 아무런 동의 없이 백그라운드에서 아무도 모르게 실행되도록 설계되어 있습니다.

3. 암호화폐 채굴은 피해자의 컴퓨터 리소스를 사용하여 자동으로 실행됩니다.

암호화폐 채굴 자바스크립트가 설치되면 감염된 컴퓨터의 리소스는 암호화폐 채굴에 사용되기 시작합니다. 이는 PC의 성능 저하 및 전기 사용량의 증가로 이어지는데, 암호화폐 채굴을 위한 리소스가 정상적으로 PC를 사용할 때 보다 더 많은 리소스를 요구하기 때문입니다. 

보통은(보통) 컴퓨터에 코인 채굴기가 돌아가는 사실을 빠르게 알아차리지 못하기 때문에 공격이 장기간 지속될 수 있습니다. 이로 인해 공격자는 발각될 리스크는 줄이면서 상당한 양의 암호화폐를 수확해 이득을 챙길 수 있는 것입니다.

4. 사이버 공격자는 리소스를 사용하지 않고 암호화폐를 챙깁니다.

크립토재킹은 다른 악성코드 공격과 비교했을 때 엄청난 특징이 있습니다. 크립토재킹 스크립트는 다양한 형태의 다른 악성코드와 달리 컴퓨터나 데이터에 직접적인 피해를 주지 않는다는 것입니다. 크립토재킹은 백그라운드에서 매우 까다로운 소프트웨어를 작동시켜 컴퓨터의 리소스를 훔칩니다. 감염시킨 PC의 리소스를 가로채면 공격자는 비용을 절약하면서 동시에 암호화폐를 얻을 수 있습니다.

반면 공격에 의한 피해 규모는 생각보다 심각합니다. 한 개의 비트코인을 채굴하는 데 필요한 에너지 소비는 대략 155,000kWh로 상당히 높다는 점에 주목해야 합니다. 이렇게 많은 리소스가 필요한 암호화폐 채굴이 장기간 들키지 않고 지속된다면 피해자의 컴퓨터에는 과열되거나 하드웨어가 손상되는 등의 피해가 추가로 발생합니다.

크립토재킹 공격 사례

크립토재킹 공격 트렌드는 2017년 코인하이브(Coinhive)에 의해 시작되었으며, 이로 인해 암호화폐 채굴 자바스크립트는 전 세계 피해자의 컴퓨터에 성공적으로 침투했습니다. 코인하이브가 성공함에 따라 유사한 암호화폐 채굴 자바스크립트 코드가 추가로 개발되면서 더 많은 피해자의 기기에서 암호화폐가 채굴되기 시작했습니다. 2022년 크립토재킹 공격은 총 1억 3,900만 건으로 기록되었으며, 2023년 말까지는 2022년 추산치의 약 3배에 해당하는 3억 3,200만 건으로 증가할 것으로 예상됩니다.

수백만 건의 크립토재킹 공격 중 몇 가지 악명 높은 사례는 다음과 같습니다.

1. 코인하이브(Coinhive) 채굴기

기록된 첫 번째 크립토재킹 사례는 2017년 9월에 발생했습니다. 이 사건은 코인하이브로 알려진 암호화폐 채굴 서비스가 모네로 코인 채굴 시 타사의 CPU를 활용할 수 있는 코드를 도입하면서 시작되었습니다. 코인하이브(Coinhive)는 당시 전 세계적으로 6번째로 흔한 악성코드로 집계되었습니다. 

Criminal IP Asset Search에 검색된 크립토재킹 공격으로 코인하이브에 감염된 자산
Criminal IP Asset Search에 검색된 크립토재킹 공격으로 코인하이브에 감염된 자산

그러나 코인하이브는 암호화폐 가치의 하락, 특히 모네로 코인 가치 하락으로 인해 2019년에 서비스 운영을 중단했습니다. 서비스가 공식적으로 중단되었음에도 불구하고 아직도 코인하이브를 악용한 크립토재킹흔적을 확인할 수 있습니다.Criminal IP Asset Search 검색 결과에 따르면, 2023년 현재 최소 약 5,000개의 장치가 여전히 코인하이브 크립토재킹에 감염되어 있습니다.

2. 크립토재킹에 감염된 마이크로소프트 스토어 애플리케이션

2019년에는 크립토재킹 자바스크립트에 감염된 8개의 애플리케이션이 마이크로소프트 스토어에서 발견되었습니다. 감염된 애플리케이션은 Fast-search Lite, Battery Optimizer (Tutorials), VPN Browsers +, Downloader for YouTube Videos, FastTube, Findoo Browser 2019, Clean Master + (Tutorials), Findoo Mobile & Desktop Search입니다. 이 애플리케이션이 발견된 후 마이크로소프트는 감염된 응용 프로그램을 스토어에서 즉시 제거했습니다.

3. 앰버스퀴드(AMVERSQUID)

크립토재킹의 위협은 여기서 끝나지 않았습니다. 2023년 가장 최근 발생한 크립토재킹 사례 중 하나는 앰버스퀴드(AMBERSQUID)입니다. 이 크립토재킹 공격은 주로 AWS Amplify, AWS Fargate 및 Amazon SageMaker와 같은 아마존 웹 서비스(AWS)를 대상으로 합니다. 앰버스퀴드는 추가 리소스에 대해 AWS에 어떠한 승인 트리거도 보내지 않고 클라우드 서비스에 침투할 수 있는 것으로 보고되었습니다.

4. 큐비트스트라이크(Qubitstrike)

또 다른 2023년에 발생한 크립토재킹의 사례는 큐비트스트라이크(Qubitstrike)입니다. 2023년 10월 Cado Security는 이 암호화폐 채굴 악성코드가 Jupyter Notebook 사용자를 타겟으로 한다고 보고했습니다. XMR 암호화폐를 조용히 채굴하는 큐비트스트라이크는 디스코드의 봇 기능을 사용하여 손상된 노드에 명령을 보내고 공격 진행 상황을 추적하는 것으로 알려졌습니다.

그 외에도 대한민국 정부 기관의 서버에서 몇 년간 코인이 채굴되었던 크립토재킹 공격 사례를 확인할 수 있습니다.

크립토재킹 탐지 방법

크립토재킹의 확산은 몇 년 전 최고조에 달했다가 점차 감소했지만 여전히 위협은 계속되고 있습니다. 2023년 초 발생한 앰버스퀴드와 같은 새로운 위협의 등장으로 알 수 있듯이 공격자들의 전술은 계속 발전하고 있습니다. 때문에 이러한 공격에 대해 경계를 유지하는 것이 중요하며, 크립토재킹 공격을 식별하는 방법을 알아야 합니다. 크립토재킹 공격을 탐지하는 방법은 다음과 같습니다.

1. 평소보다 느리게 실행되는 장치

보통 컴퓨터가 느려진 이유가 동시에 너무 많은 응용 프로그램이 실행되기 때문이라고 생각할 수 있습니다. 또는 RAM이 감당할 수 없는 만큼 많은 작업을 처리하고 있다고 생각될 수 있습니다. 물론 실제로 그 이유 때문에 느려졌을 수 있지만, 알 수 없는 소프트웨어가 자동으로 실행되고 있지는 않은지 항상 의심하는 것이 좋습니다.

2. 평소보다 심한 장치 과열 현상

RAM 사용량이 많은 소프트웨어를 실행하는 경우 장치가 뜨거워지며, 평소에도 장치를 그렇게 사용하는 사람들에게는 흔한 문제일 수 있습니다. 하지만 이런 문제가 장기간 지속된다면 바이러스 백신 검사를 실행하여 다른 원인을 찾는 것이 좋습니다.

3. 배터리가 평소보다 더 빨리 소모됨

오래 사용한 노트북, 태블릿 및 스마트폰의 배터리는 빠르게 소모됩니다. 하지만, 배터리가 비정상적으로 급격히 소모되는 경우 암호화폐 채굴 자바스크립트에 감염되었는지 확인해야 합니다. 크립토재킹 스크립트는 암호화폐를 채굴하기 위해 장치의 리소스를 가로채기 때문에 CPU 또는 GPU에 부하가 생기면서 배터리가 빠르게 소모됩니다.

4. 크립토재킹 사례에 대한 최신 정보 받기

코인하이브가 공식적으로 운영을 중단한 이후에도 크립토재킹 공격은 끝나지 않았습니다. 사이버 공격자는끊임없이 사람들의 장치를 하이재킹하여 암호화폐 채굴 리소스로 바꾸는 방법을 연구하고 개발하고 있습니다. 

이 문제에 대해 경계를 늦추지 않으려면 크립토재킹 관련 최신 이슈를 상시 확인해야 합니다. 또한 Criminal IP와 같은 CTI(Cyber Threat Intelligence) 검색 엔진에서 크립토재킹에 감염된 IP 주소, 도메인 및 자산을 찾아볼 수 있습니다.

예를 들어, 암호화폐 채굴을 시작하게 하는 스크립트 코드인 CoinIMP를 검색해 볼 수 있습니다. Criminal IP Asset Search 에 “var_client = new Client.Anonymous”를 검색하면 CoinIMP 암호화폐 채굴 스크립트에 감염된 사이트를 확인할 수 있습니다.

Criminal IP Asset Search로 검색한 크립토재킹 공격으로 CoinIMP에 감염된 자산
Criminal IP Asset Search로 검색한 크립토재킹 공격으로 CoinIMP에 감염된 자산

크립토재킹 예방하는 방법

인터넷 사용 시 단 한 번의 잘못된 클릭 만으로도 크립토재킹에 감염될 수 있습니다. 사이버 위협은 끊임없이 진화하기 때문에 보안을 유지하려면 보안 인식, 예방 조치 및 지속적인 주의가 필요합니다. 이 섹션에서는 장치가 크립토재킹 공격에 감염되지 않도록 예방하는 몇 가지 팁을 제공합니다.

1. 온라인 상태일 때는 항상 경계하기

크립토재킹에 대한 첫 번째 방어선은 경계입니다. 링크를 클릭하거나, 파일을 다운로드하거나, 단순히 웹 사이트를 방문할 때, 특히 출처를 알 수 없는 경우 항상 의심하고 주의해야 합니다. 온라인에서 안전을 유지하기 위해서는 아무도 믿지 말고 모든 사람을 의심해야 합니다.

2. 바이러스 백신 설치하기

장치에 신뢰할 수 있는 바이러스 백신 소프트웨어를 설치하는 것이 중요합니다. 바이러스 백신 프로그램은 크립토재킹 스크립트를 탐지하고 차단하여 컴퓨터를 안전하게 보호할 수 있습니다. 또한 바이러스 백신 소프트웨어를 항상 최신 버전으로 유지하여 크립토재킹을 포함한 모든 악성 감염으로부터 보호할 수 있습니다.

3. 애드블록 사용하기

팝업 온라인 광고는 사이버 공격자가 암호화폐 채굴 자바스크립트를 퍼뜨리는 데 사용하는 주요 방법입니다. 애드블록은 악성 광고에 노출되는 것을 예방하는 데 도움이 될 수 있습니다. 모든 온라인 광고가 유해한 것은 아니지만 광고를 차단하면 잠재적인 위협에 대한 노출을 줄일 수 있습니다. 대부분의 웹 브라우저에서 설치할 수 있는 애드블록 확장 프로그램들을 쉽게 접할 수 있습니다.

4. 응용 프로그램 설치 전 주의하기

공격자는 타겟을 고를 때 온라인 광고와 이메일 링크만을 이용하지 않습니다. 장치에 접근하기 위해 악성코드를 위장하는 창의적인 방법들이 계속해서 나오고 있습니다. 마이크로소프트 스토어의 암호화폐 채굴 자바스크립트 코드에 감염된 응용 프로그램이 그 사례 중 하나입니다. 

크립토재킹을 예방하려면 응용 프로그램이 적법한 절차로 만들어졌는지 확인해야 합니다. 개발자가 합법적인 웹사이트를 갖고 있는지, 실제 사용자가 응용 프로그램에 대한 리뷰를 남기고 있는지 확인하세요. 이 점검 작업은 5분도 채 소요되지 않습니다. 응용 프로그램이 합법적인지5분을 투자해 확인하는 것은 암호화폐 채굴 자바 스크립트가 장치에 침투해 피해를 입는 것을 생각하면 전혀 아깝지 않은 투자입니다.

5. 링크를 클릭하기 전 항상 확인하기

링크를 클릭하기 전, 링크 위에 마우스 커서를 올리면 연결될 URL이 표시됩니다. 연결하려고 한 URL이 맞는지, URL이 의심스러워 보이지 않는지 확인하고 특히 이메일에 첨부된 파일 및 링크를 주의하세요. 링크를 열기 전에 그 안에 포함된 소스들에 문제가 없는지 확인해야 합니다.

구글 크롬 브라우저를 사용하는 경우 AI 피싱 링크 검사 확장 프로그램을 설치하여 악성 링크를 탐지할 수 있습니다. Criminal IP: AI-based Phishing Link Checker는 AI 기술을 사용해 링크를 클릭하기 전 실시간으로 URL을 스캔하고, 잠재적인 위협을 탐지합니다.

예시로 아래 광고 이메일에 삽입된 링크가 안전한지 여부를 확인해보겠습니다. 크롬 브라우저에 확장 프로그램을 설치하고 활성화한 후 링크를 마우스 우클릭하여 Pre-Check This Link를 클릭하면 URL에 접속하기 전 검사가 진행됩니다.

Criminal IP Phishing Link Checker로 클릭하기 전에 링크를 확인합니다
Criminal IP Phishing Link Checker로 클릭하기 전에 링크를 확인합니다

검사 결과, 이 광고에 삽입된 링크는 클릭해도 되는 안전한 링크였으며, 다음과 같은 결과가 보여집니다. 

Criminal IP 피싱 링크 검사 확장프로그램에서 링크를 클릭해도 안전한지 확인한 결과
Criminal IP 피싱 링크 검사 확장프로그램에서 링크를 클릭해도 안전한지 확인한 결과

[결론] 크립토재킹에 대한 경계를 유지해야 합니다

인터넷에 연결된 모든 장치는 사이버 위협에 항상 노출되어 있습니다. 인터넷 사용자로서 할 수 있는 유일한 방법은 크립토재킹을 포함한 모든 공격에 대해 항상 조심하고 경계하는 것입니다. 그러나 공격 방법은 너무 다양하고, 혼자서 모든 공격을 방어하는 일은 쉽지 않습니다. 크립토재킹 공격에서 사용자를 보호하기 위한 많은 보안 도구들이 이미 있으며, 이 도구들이 도움이 될 수 있습니다. 가장 중요한 것은 바이러스 및 맬웨어로부터 장치를 보호하기 위해 강력한 바이러스 백신에 투자하고 사용하는 것입니다. 예방 조치로 Criminal IP: AI-based Link Checker를 설치하여 악성 링크 클릭을 방지할 수 있습니다. 보안 분석가 또는 최신 보안 트렌드를 연구하는 경우, Criminal IP 검색엔진과 같은 사이버 보안 검색 엔진 도구를 활용하여 온라인에서 유포되는 크립토재킹에 감염된 장치를 확인할 수 있습니다. 


이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.