수밋 밴잘(Sumit Bansal) 소포스 아시아·한국 총괄 이사

▲ 수밋 밴잘(Sumit Bansal) 소포스 아시아·한국 총괄 이사

[컴퓨터월드] 한국은 물론 세계적으로 비트코인에 대한 관심이 뜨겁다. IT전문가나 정부 관료의 말 한마디에 가격이 급등락하는 등 각종 문제점도 나타나고 있다.

비트코인의 인기를 의식한 싱가포르 통화청은 잠재적 투자자를 대상으로 ‘최고 수준으로 조심’해야 한다고 당부하며, 가상화폐 투자의 심각한 위험성을 인지하고 있을 것을 강력하게 경고했다.

이런 상황에서 사이버 도둑들이 기회를 놓치지 않고 웹사이트를 악성 소프트웨어로 감염시켜 가상화폐 채굴기로 돈을 벌기 시작했다는 것은 그다지 놀라운 일이 아니다.


웹 기반 가상화폐 채굴기는 멀웨어다

가상화폐 채굴이란 비트코인, 모네로 및 이더리움, 라이트코인 등 가상화폐를 찾아내는 과정을 말한다. 채굴 과정에서 방대한 컴퓨터 처리 능력이 필요하므로 기기의 성능 저하는 물론 기기에 손상이 발생하기도 한다.

과거에는 주로 스스로 선택한 사람들만 채굴에 참여했기 때문에 그다지 문제가 되지는 않았다. 하지만 가상화폐 가격이 급등하자 상황이 변하기 시작했다. 비트코인은 지난해 초만 해도 1,000달러(약 100만 원) 정도였으나 연말에는 약 17,000달러(약 1,700만 원)까지 폭등했다.

합법적인 가상화폐 채굴 프로그램은 사용자에게 실행 권한을 요청한다. 악성 버전은 권한을 요청하지 않는 대신 컴퓨터의 리소스를 조용히 빼낸다. 소포스랩스는 다양한 형태의 새로운 악성 버전을 발견한 바 있다.

악성 가상화폐 채굴 프로그램의 대표적인 방식은 실행 가능한 파일로 표시되는 대신 웹사이트에 숨겨진 스크립트의 형태로 브라우저에서 가상화폐를 채굴하는 것이다. 웹사이트 방문자들은 채굴이 진행되는 것을 알아차리지 못한다. 무언가 잘못됐을지도 모른다는 것을 알 수 있는 유일한 단서라고는 컴퓨터 속도가 느려지고 팬이 빠르게 돌아간다는 것뿐이다.

이를 잘 보여주는 사례로 지난해 11월에 발견된 모네로 채굴기인 ‘코인하이브’를 들 수 있다. 가상화폐의 가치가 치솟음에 따라 코인하이브를 숨겨둔 웹사이트가 꾸준히 증가해왔다. 예를 들어 부에노스아이레스의 스타벅스에 방문한 사람들은 커피숍의 ‘무료 와이파이’에 연결했을 때 10초간 지연되는 현상을 경험했는데, 이는 가상화폐를 채굴하기 위해 노트북의 리소스를 몰래 빼냈기 때문인 것으로 밝혀졌다.

코인하이브와 여타 자바스크립트 기반의 가상화폐 채굴기는 기생충 같은 특성을 보이고 있다. 소포스는 이를 멀웨어로 분류하고 있으며, 이러한 멀웨어가 숨겨진 웹사이트에 사용자가 우연히 들어갈 경우 차단하도록 지원한다.

앞에서 지적한 것처럼 코인하이브와 같은 자바스크립트 채굴기는 웹사이트에 추가돼 브라우저에서 실행되며 방문자의 CPU를 이용해 가상화폐를 생성한다. 사용자는 성능 악화와 CPU 사용량의 급증 및 배터리가 평소보다 빨리 방전되는 것을 경험할 수 있다.

코인하이브는 모바일 기기에서도 작동할 수 있다. 짧은 시간에 기기의 온도가 급격히 올라갈 경우 코인하이브를 의심해보는 것이 좋다.


가상화폐의 가치 오르면 코인하이브도 증가

소포스랩스는 지난해 말 가상화폐의 가치가 치솟음에 따라 코인하이브 스크립트를 사용하는 웹사이트도 꾸준히 증가했다는 사실을 발견했다. 아래 그림은 비트코인과 모네로의 가치 상승 대비 코인하이브의 증가를 나타낸 것이다.

▲ 비트코인 가격대비 코인하이브 웹 감염 발견 건수(출처: 소포스)

▲ 모네로 가격대비 코인하이브 웹 감염 발견 건수(출처: 소포스)

코인하이브 시장 자체가 광고 수입을 대체하는 근원이 되고 있다. 한 예로 토렌트 사이트인 파이럿베이는 코인하이브의 코드를 사용해왔으며 방문자들에게 알리지 않고 그들의 브라우저를 사용해 가상화폐를 채굴했다. 파이럿베이는 코인하이브 자바스크립트를 검색 페이지에 심어두고 모네로를 채굴했다.


어떻게 해야 하는가

코인하이브와 같이 웹사이트에 호스팅된 자바스크립트 가상화폐 채굴기를 막기 위해 또는 사용자가 가상화폐를 채굴하려는 낌새를 눈치챘을 때 다음과 같은 조치를 취해야 한다.

1. CPU를 살펴라

맥 OS의 경우 ‘활성 상태 보기’를, 윈도 OS의 경우 ‘작업 관리자’를 확인한다. 노트북에 팬이 달렸다면 과부하가 걸린 CPU 칩에서 발생한 열기를 식히기 위해 팬이 시끄럽게 돌아가는 소리를 들을 수 있을 것이다.

2. 자바스크립트를 제어할 수 있는 플러그인을 고려하라

노스크립트는 자바스크립트, 플래시, 자바가 브라우저에 침입하려 할 경우 제어하도록 해주는 무료 툴이다. 이런 스크립트를 제어할 수 있는 플러그인을 설치해 대응할 수 있다.

3. 안티바이러스 제품이 가상화폐를 채굴하는 툴을 찾아내는지 살펴라

예를 들어 소포스의 제품은 브라우저 기반 가상화폐 채굴기를 PUA(사용자 동의 없이 설치됐을 수도 있는 응용 프로그램)로 분류한다. PUA는 멀웨어가 아니며 사용자의 선택에 따라 차단되거나 허용될 수 있다.

4. 프로그램 패치를 즉시 시행하라

서버에 침입할 수 있는 해커들은 가상화폐 채굴 코드를 추가해 웹사이트에 방문하는 모든 사람으로부터 ‘공돈’을 빼낼 수 있다는 사실을 알아야 한다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지