기술
제품
산업군
이벤트
자료
기업
한국어
기술
제품
산업군
블로그
뉴스
이벤트
보도 자료
자료
기업

암호화폐 채굴 악성코드: 창고에서 발견된 암호화폐 채굴장

Justin Fier, Director of Cyber Intelligence & Analytics

암호화폐가 매주 헤드라인을 장식하면서 주요 투자처이자 결제 방법으로 빠르게 자리 잡고 있습니다. 전 세계적으로 사이버 범죄자들은 이러한 추세에 부응하여 암호화폐 ‘채굴장’으로 불리는 데이터센터를 활용해 수익을 올리고 있습니다. 중국에서 아이슬란드, 이란, 심지어 텅빈 창고의 두꺼운 종이 상자 속에서까지 채굴이 이루어질 정도입니다.

암호화폐 채굴은 어떻게 이루어질까?

암호화폐는 탈중앙화된 디지털 화폐입니다. 중앙 은행에서 언제든 발행할 수 있는 기존 화폐와는 달리 암호화폐는 중앙집권적 기관의 통제를 받지 않습니다. 그 대신 블록체인을 기반으로 하는데, 이는 P2P(peer-to-peer) 네트워크에서 구축하고 유지 관리되는 디지털 거래 원장과 같은 역할을 합니다.

채굴자는 암호화 알고리즘을 해결하여 암호화폐를 생성하고 획득합니다. 암호화폐 채굴기는 망치와 끌 대신 GPU 또는 ASIC을 탑재한 특수 컴퓨터를 사용해 가능한 신속히 거래를 검증하며, 그 과정에서 암호화폐를 얻습니다.

2021년 암호화폐 채굴장: 조기 성과 창출

암호화폐를 채굴하려면 엄청난 양의 에너지가 들어갑니다. 케임브리지 대학의 분석에 따르면 비트코인을 생성하는 데 드는 에너지는 국가 전체의 에너지 소비량을 넘어서지는 않더라도 그에 맞먹는 수준으로 추산됩니다. 예를 들면 비트코인(Bitcoin)은 연간 약 137.9 테라와트시(TWH)를 소비하는데, 같은 기간 우크라이나의 전력소비량은 128.8TWH에 그쳤습니다. 비트코인은 모네로(Monero), 도지코인(Dogecoin)과 같은 여러 암호화폐 중 하나일 뿐이므로 모든 암호화폐가 사용하는 전체 에너지량은 훨씬 많습니다.

고성능 채굴 컴퓨터에 높은 처리 능력이 필요하다는 것을 생각하면, 암호화폐 채굴은 전기료가 상대적으로 저렴한 국가에서는 수익성이 큰 사업입니다. 그러나 채굴에 들어가는 에너지는 도시 전체가 마비되는 정도의 심각한 결과를 초래할 수 있습니다. 이란에서는 암호화폐 채굴장에 전기를 공급하느라 낡은 전력망이 허덕이면서도시 전체가 정전되는 사태가 발생했습니다.

이러한 암호화폐 채굴장 중에는 합법적인 것도 있지만 불법 채굴기 또한 이란의 에너지 수급에 부담을 주고 있습니다. 불법적인 암호화폐 채굴이 이란에서 성행하는 이유는 얼마 간은 이란의 통화 가치가 불안정하고 인플레이션의 영향을 받기가 쉬운 반면, 암호화폐는 (당장은) 인플레이션 통화 정책과 미국 제재의 영향을 받지 않기 때문입니다. 암호화폐 파밍(farming)을 불법적인 목적에 사용하는 경우 네트워크 중단과 심각한 금융 손실을 불러올 수 있습니다.

기업 네트워크 상의 암호화폐 채굴 악성코드

암호화폐 채굴 악성코드를 차단하지 않으면 조직의 디지털 환경을 저해하다 못해 운영 중단까지 초래할 수 있습니다. Cyber AI는 디비이스를 암호화폐 채굴 악성코드에 감염시킨 수백 건의 공격을 발견해 무력화했으며, 감염된 디바이스는 다음과 같습니다.

  • 생체인증 방식의 도어를 열고 닫는 서버
  • 빛의 파장을 이용해 물질을 분석하는 의료 IoT 기기인 분광계
  • 이탈리아 은행 바닥 아래 숨겨져 있던 12대의 서버

지난 해 Darktrace가 한 기업 시스템에서 비정상적인 암호화폐 채굴 활동을 탐지한 적이 있었습니다. 조사한 결과, 문제의 조직은 비정상 활동이 자사의 창고에서 시작된 것을 알게 되었습니다. 창고에서 선반 위에 평범해 보이는 두꺼운 종이 상자가 놓인 것을 찾아냈습니다. 상자를 열어보니 회사 네트워크 전원을 이용한 암호화폐 채굴장을 숨겨놓은 것이었습니다.

그림 1: 평범한 종이 상자

그림 2: 암호화폐 채굴장

그림 3: 위협 행위자가 회사 네트워크 전원을 이용해 몰래 만든 GPU 탑재 암호화폐 채굴 장비

발견되지 않았더라면 암호화폐 채굴장은 고객에게 금전적 손실을 유발하고 업무 중단을 초래했을 것입니다. 채굴 장비에서는 엄청난 열이 발생하기 때문에 창고에 쉽게 불이 날 수도 있었습니다.

이 사례는 은밀한 방법을 통해 기회를 노리는 개인이 암호화폐 채굴 악성코드를 이용하여 기업 인프라를 탈취할 수 있음을 보여줍니다. 그뿐만 아니라 전체 디지털 자산을 보호하고 새로운 이벤트나 비정상적인 이벤트를 탐지할 수 있는 보안 툴이 필요한 이유를 잘 나타냅니다. Darktrace는 머신 러닝을 통해 창고의 상자에서 설정된 연결이 매우 비정상적이라는 경고를 표시하여 이처럼 뜻밖의 발견을 할 수 있었습니다.

Antigena가 활성 상태인 조직에서는 비정상적 암호화폐 채굴 디바이스와 관련 외부 엔드포인트와의 통신을 전면 차단해 채굴 활동을 효과적으로 방지했을 것입니다. Antigena는 또한 디지털 환경 전체의 ‘행동 패턴'을 실행하고 악의적인 행동을 방지하는 한편 정상적인 비즈니스 활동이 지속되도록 지원할 수 있습니다. 공격자는 계속해서 빠르게 늘어나고 해커들은 암호화폐 채굴 악성코드를 배포할 새로운 방식을 고안해 냅니다. 따라서 디지털 환경의 모든 영역에 Darktrace의 전면적인 가시성과 자율 대응(Autonomous Response) 기술을 구현하는 것이 그 어느 때보다도 중요합니다.

기고해주신 Chloe Phillips, Darktrace 분석가에게 감사드립니다.

Darktrace가 은밀한 암호화폐 채굴 캠페인을 차단하는 방법에 대해 더 자세히 알아보세요.

Darktrace 모델 탐지:

  • Compliance / Crypto Currency Mining Activity
  • Compromise / High Priority Crypto Currency Mining
  • Compromise / Monero Mining
  • Anomalous Connection / Rare External SSL Self-Signed
  • Compromise / HTTP Beaconing to Rare Destination
  • Compromise / POS and Beacon to Rare External
  • Compromise / Slow Beaconing Activity to External Rare
  • Compromise / SSL Beaconing to Rare Destination
  • Compromise / Sustained TCP Beaconing Activity to Rare Endpoint
  • Anomalous Connection / Multiple Failed Connections to Rare Destination
  • Compromise / Sustained SSL or HTTP Increase
  • Anomalous Connection / Connection to New TCP Port
  • Anomalous Connection / Connection to New UDP Port
  • Compromise / Multiple UDP Connections to Rare External Hosts
  • Compromise / SSL or HTTP Beacon
  • Compromise / Quick and Regular HTTP Beaconing
  • Device / Suspicious domains
  • Compromise / Suspicious Beacons to Rare PHP Endpoint
  • Anomalous File / Script from Rare
  • Anomalous Connection / New failed External Windows Connection
  • Device / New Failed External Connection
  • Anomalous Connection / POST to PHP on New External Host

Justin Fier

Justin is one of the US’s leading cyber intelligence experts, and holds the position of Director for Cyber Intelligence & Analytics at Darktrace. His insights on cyber security and artificial intelligence have been widely reported in leading media outlets, including the Wall Street Journal, CNN, The Washington Post, and VICELAND. With over 10 years’ experience in cyber defense, Justin has supported various elements in the US intelligence community, holding mission-critical security roles with Lockheed Martin, Northrop Grumman Mission Systems and Abraxas. Justin is also a highly-skilled technical specialist, and works with Darktrace’s strategic global customers on threat analysis, defensive cyber operations, protecting IoT, and machine learning.