크립토재킹이란 무엇인가요?

해커는 크립토재킹 코드(멀웨어의 일종)를 사용하여 관련 비용 없이 귀중한 암호화폐를 생산하고 수집합니다. 본질적으로 그들은 피해자를 속여 보상을 얻지 못한 채 자신의 자원을 소비하도록 합니다. 크립토재킹은 사이버 보안 환경에서 점점 더 커지고 있는 위협입니다. 2024년 Sonicwall 사이버 위협 보고서에 따르면 2023년 크립토재킹 사건은 659% 증가했습니다. 

암호화폐를 채굴하기 위한 자원은 비쌀 수 있습니다. 크립토재킹 공격이 성공하면 모르는 피해자가 암호화폐 채굴 과정에 드는 비용을 부담하게 되고, 크립토재커는 수익을 챙깁니다.

크립토재킹 공격은 웹을 통해, 브라우저 기반 크립토재킹 스크립트(주로 웹 페이지의 JavaScript 코드에 포함됨) 를 통해 수행되거나, 앱으로 전달되거나 소셜 엔지니어링 또는 피싱 공격을 통해 트로이 목마 스타일의 바이러스로 제공되는 크립토재킹 멀웨어를 통해 수행될 수 있습니다. 크립토재킹 코드 또는 크립토재킹 소프트웨어에 감염된 데스크톱, 노트북, 서버, 스마트폰 및 기타 모바일 디바이스는 종종 성능이 크게 저하되어 운영 중단과 전기 요금 증가가 발생합니다.   

크립토재킹은 다른 유형의 사이버 범죄와 다릅니다. 데이터 유출이나 랜섬웨어 공격과 같은 사이버 위협은 일반적으로 사용자 데이터를 훔치거나 지배하려는 반면, 크립토재킹 코드는 처리 능력과 전기를 효과적으로 훔칩니다. 크립토마이닝 멀웨어는 가능한 한 오랫동안 탐지를 회피하도록 설계된 미묘한 악성 코드를 표적에 주입하도록 설계되었습니다.   

• 실제 크립토재킹: 악의적인 크립토마이닝이라고도 하는 크립토재킹 공격은 사용자의 컴퓨팅 장치 또는 가상 머신(VM)을 장악하려고 시도합니다. 크립토재킹은 의심하지 않는 피해자의 처리 능력을 몰래 유출하여 디지털 화폐를 채굴하는 방식으로 이루어집니다. 사이버 범죄자는 생성된 암호화폐 수익을 징수하고 피해자는 비용을 부담합니다.  

• 크립토재킹의 영향: 크립토재킹 피해자는 전기 비용이 증가하고 시스템 성능이 저하되어 하드웨어가 손상되고 과열로 이어질 수 있습니다. 공격이 성공하면 피해자의 데이터 개인 정보가 손상될 수 있으며 다른 사이버 위협이 발생할 수 있습니다. 

• 크립토재킹 취약점: 공격 벡터에는 웹 페이지, 웹 브라우저, 브라우저 확장 및 플러그인, 사물인터넷(IoT) 장치, 이메일 및 기타 메신저 유형 앱이 포함됩니다. 채굴 멀웨어는 대부분의 유명 운영 체제를 감염시킬 수 있습니다. 해커는 Microsoft 및 YouTube와 같은 주요 소프트웨어 및 서비스 제공업체를 표적으로 삼기도 했습니다.     

• 크립토재킹 방어: 엔드포인트 탐지 및 대응(EDR), 콘텐츠 무장 해제 및 재구성(CDR), 안티바이러스 솔루션, 정기 작업 관리자 및 CPU 사용량 모니터링, 공급망 감사, 광고 차단기, 스크립트 차단, 직원 교육을 결합한 크립토재킹 공격 방어를 위한 권장 방법 실시간 위협 탐지.  

암호화폐는 물리적인 실체는 없지만 전통적인 법정 통화처럼 상품이나 서비스와 교환할 수 있는 일종의 디지털 자산 입니다. 암호화폐의 주요 혁신은 중개자 없이 당사자 간에 직접 자금을 보낼 수 있다는 것입니다. 암호화폐는 블록체인 기술을 사용하여 만들어집니다.

블록체인은 특정 블록체인 시스템을 사용하여 이루어진 모든 거래를 기록하는 가상 장부과 같습니다. 암호화폐 블록체인은 종종 오픈 소스이므로 누구나 기본 코드를 검토할 수 있습니다.

블록체인 시스템은 암호화폐 외에도 모든 유형의 기록을 추적하고 검증해야 하는 다른 애플리케이션에도 유용합니다. 또한 민감한 정보를 추적하는 시스템에서 프라이빗 블록체인을 사용할 수 있습니다. 

• 블록체인: 블록체인은 네트워크 내에서 거래를 기록하고 추적하는 데 사용되는 공유되고 변경 불가능한 디지털 원장으로, 검증된 진실의 단일 소스를 제공합니다. 

• 암호화폐: 암호화폐는 블록체인에 저장된 암호화된 코드 블록을 해독하여 생성된 디지털 자산입니다. 암호화폐 단위는 종종 토큰 또는 코인이라고 하며, 코인을 해독하고 블록체인 거래를 검증하기 위해 컴퓨팅 및 에너지 자원을 거래하는 사용자에 대한 보상으로 사용됩니다.

• 채굴자: 암호화폐 채굴자(또는 채굴자)는 새로운 토큰을 생성하고 체인상 거래를 검증하는 암호화폐 채굴 소프트웨어를 실행하는 사용자입니다. 

블록체인을 강력하게 만드는 것은 탈중앙화입니다. 비트코인이 사용하는 퍼블릭 블록체인은 어느 한 곳에 저장되지 않습니다. 대신, 블록체인은 공유 블록체인의 유효성을 모니터링하고 검증하는 크립토마이닝 소프트웨어를 실행하는 서로 다른 컴퓨터 시스템인 노드 수에 상관없이 복제됩니다.

블록체인을 통해 트랜잭션이 이루어지면 전체 원장에 기록되기 전에 특정 노드 임계값에서 트랜잭션을 검증해야 합니다. 이 프로세스는 각 거래가 합법적임을 보장하고 이중 지출이나 사기와 같은 일반적인 디지털 통화 문제를 해결합니다. 개별 사용자의 신원은 익명일 수 있지만 공공 블록체인의 모든 거래는 액세스 권한이 있는 모든 사람이 사용할 수 있는 공개 지식입니다.

암호화폐의 경우 블록체인은 일부 토큰 또는 동전을 저장합니다. 이 코인은 해시 블록이라고 하는 복잡한 수학 문제로 암호화되어 있습니다. 새로운 코인을 생성하려면 블록체인 시스템의 사용자는 각 해시를 해독하는 데 컴퓨팅 리소스를 투자해야 합니다. 이 프로세스를 크립토마이닝이라고 하며 일반적으로 엄청난 양의 처리 능력이 필요합니다. 자신의 리소스를 사용하여 새로운 코인을 생성하고 다른 사용자의 거래를 검증하는 사용자를 채굴자라고 합니다.

암호화폐 해시를 해결하고 트랜잭션을 검증하는 것은 하드웨어와 전기 비용 측면에서 비용이 많이 들 수 있습니다. 코인은 하드웨어와 에너지 비용을 부담하는 광부에게 지불하는 것입니다. 전체 해시 블록을 해독하려면 트랜잭션을 검증하는 것보다 훨씬 더 많은 리소스가 필요합니다. 이는 트랜잭션 검증이 필요한 리소스와 상관 관계가 있는 트랜잭션 가치의 비례 비율로 계산되는 더 작은 비율로 보상된다는 것을 의미합니다. 

합법적인 암호화폐 채굴 작업에는 높은 전기 비용과 값비싼 하드웨어의 형태로 막대한 운영 비용이 발생할 수 있습니다. 표준 중앙 처리 장치(CPU)가 제공할 수 있는 것 이상의 처리 능력과 효율성을 위해 설계된 그래픽 처리 장치(GPU)를 예로 들 수 있습니다. 그러나 비트코인과 같은 일부 암호화폐는 엄청난 양의 에너지와 컴퓨팅 성능이 필요한 반면, Monero와 같은 다른 통화는 훨씬 적은 양의 에너지와 컴퓨팅 성능을 필요로 합니다. 

성공적인 크립토재커는 많은 피해자의 CPU(또는 모든 유형의 프로세서)를 강탈할 수 있습니다. 사용하지 않는 CPU 주기를 효과적으로 훔쳐 크립토마이닝 계산을 수행하는 데 사용하고, 획득한 코인을 자신의 익명 디지털 지갑으로 보낼 수 있습니다. 전체적으로 느린 프로세서는 여전히 상당한 양의 암호화폐를 생성할 수 있습니다. 크립토재커는 이를 직접적으로(대상의 컴퓨터를 멀웨어로 감염시킴으로써) 또는 간접적으로(사용자가 감염된 웹 사이트를 방문하는 동안 프로세서 주기를 빨아들여) 수행할 수 있습니다. 

독립적으로 또는 하이브리드 접근 방식으로 효과적으로 사용할 수 있는 크립토재킹에는 세 가지 주요 유형이 있습니다. 고급 유형의 크립토재킹 코드는 웜 바이러스처럼 작동하여 연결된 리소스를 감염시키고 탐지를 회피하기 위해 자체 코드를 변경할 수 있습니다. 크립토재킹의 세 가지 유형은 다음과 같습니다.

• 브라우저 기반 크립토재킹: 이 유형의 크립토재킹은 웹 브라우저에서 직접 실행되므로 피해자가 추가 소프트웨어를 설치할 필요가 없습니다. 악성 암호화폐 채굴 코드가 삽입된 웹사이트를 탐색하는 것만으로도 피해자의 컴퓨터 리소스가 은밀한 암호화폐 채굴에 사용될 수 있습니다. 

• 호스트 기반 크립토재킹: 호스트 기반 크립토재킹은 대상의 장치나 시스템에 다운로드된 크립토재킹 멀웨어를 말합니다. 이러한 유형의 크립토재킹은 사용자가 소프트웨어를 다운로드하고 저장해야 하기 때문에 감지하기가 더 쉬울 수 있습니다. 그러나 연중무휴로 작동하여 에너지 소비가 증가하고 자원 소모가 증가할 수도 있습니다. 

• 메모리 기반 크립토재킹: 메모리 기반 크립토재킹은 브라우저 또는 호스트 기반 크립토재킹보다 탐지하기가 어렵고 드뭅니다. 이 유형은 코드 주입 및 메모리 조작과 같은 고급 기술을 사용하여 증거를 남기지 않고 실시간으로 크립토마이닝에 RAM을 사용합니다. 

공격 유형에 따라 대부분의 크립토재킹 사고는 유사한 4단계 프로세스를 따릅니다.

크립토재킹 공격의 첫 번째 단계는 대상을 악성 코드에 노출시키는 것입니다. 사이버 범죄자가 크립토재킹을 저지르려면 피해자의 시스템에 일종의 크립토재킹 스크립트를 도입하는 방법을 찾아야 합니다.

이는 대상을 속여 크립토마이닝 프로그램을 다운로드하도록 하는 피싱 이메일처럼 보일 수도 있고, 평판이 좋은 웹사이트의 JavaScript 지원 광고만큼 무해할 수도 있습니다. 

배포 단계는 악성 코드가 대상의 시스템에 유입되면 시작됩니다. 이 단계에서 크립토마이닝 스크립트는 백그라운드에서 실행되기 시작하여 가능한 한 적은 관심을 끌 수 있습니다. 크립토재킹 스크립트가 눈에 띄지 않는 시간이 길어질수록 더 많은 수익을 얻을 수 있습니다.

"최고의" 크립토마이닝 스크립트는 대상의 시스템 성능에 눈에 띄는 영향을 주지 않으면서 가능한 한 많은 처리 능력을 잘못 할당하도록 설계되었습니다. 상대적으로 낮은 컴퓨팅 성능을 소비하는 스크립트를 배포하는 것은 탐지를 피하는 데 도움이 되기 때문에 크립토마이너에게 가장 이익이 되지만, 크립토재킹 코드는 본질적으로 탐욕스럽습니다. 그들은 종종 더 넓은 성능과 더 높은 에너지 비용을 희생하면서 자원을 소비합니다. 

배포 단계가 완료되면 마이닝 단계가 시작됩니다. 배포가 성공하면 크립토재킹 코드는 대상의 컴퓨팅 리소스를 사용하여 암호화폐를 채굴하기 시작합니다. 새로운 코인을 생성하는 복잡한 암호화 해시를 해결하거나 블록체인 거래를 Verify 하여 암호화폐 보상을 얻는 방식으로 이를 수행합니다. 

이러한 모든 보상은 크립토재커가 제어하는 디지털 지갑으로 전송됩니다. 크립토재킹의 피해자는 자신이 지불한 리소스에서 생성된 암호화폐를 청구할 방법이 없습니다.

암호화폐는 기존 유형의 자산보다 추적하기가 더 어렵습니다. 일부 코인은 다른 코인보다 익명성이 높지만 크립토재킹을 통해 채굴된 통화를 복구하는 것은 불가능할 수 있습니다. 퍼블릭 블록체인에서 이루어진 거래는 대중에게 알려졌지만 부당하게 얻은 암호화폐를 식별 가능한 사이버 범죄자에게 추적하는 것은 어렵습니다. 그리고 탈중앙화 금융(DeFi) 도구는 크립토재커를 추적하는 것을 더욱 어렵게 만들 수 있습니다. 이러한 도구를 통해 암호화폐 보유자는 암호화폐 자원을 전통적인 투자 기회처럼 작동하는 금융 풀과 같은 도구에 풀링하여 초기 자본을 인출하지 않고도 배당금을 지급할 수 있습니다. 이러한 도구는 많은 합법적인 투자자를 위해 설계되고 사용되지만 악의적인 행위자는 암호화폐의 분산된 특성을 활용하여 자신의 흔적을 가릴 수 있습니다. 

침투는 항상 모든 크립토재킹 공격의 첫 번째 단계입니다. 크립토재킹은 해커가 크립토재킹 코드를 전달하는 방법에는 여러 가지가 있기 때문에 위험한 형태의 사이버 범죄입니다. 해커가 표적 피해자의 시스템에 침투할 수 있는 몇 가지 방법은 다음과 같습니다.

• 피싱: 피싱 이메일에는 멀웨어 다운로드를 트리거하는 링크가 포함될 수 있습니다. 피해자는 링크를 클릭하여 디지털 상품권처럼 보이지만 실제로는 멀웨어가 포함되어 있는 것을 볼 수 있으며, 자신이 오도당했다는 사실을 깨닫지 못한 채 자신도 모르게 악성 크립토마이닝 소프트웨어를 설치할 수 있습니다. 

• 잘못 구성된 시스템: 공개적으로 노출된 잘못 구성된 가상 머신(VM), 서버 또는 컨테이너는 인증되지 않은 원격 액세스 권한을 얻으려는 해커에게 공개적으로 초대됩니다. 일단 안으로 들어가면 숙련된 사이버 범죄자에게는 크립토재킹 소프트웨어를 설치하는 것은 사소한 작업입니다. 

• 손상된 웹 애플리케이션: 신뢰할 수 있거나 선의의 제공자라도 보안되지 않은 포트를 통해 웹 애플리케이션에 액세스하면 피해자의 시스템이 크립토재킹 코드에 노출될 수 있습니다.

• 감염된 브라우저 확장 프로그램: 브라우저 확장 프로그램은 애드온이나 플러그인이라고도 하며, 사용자의 웹 브라우징 환경을 개선하고 맞춤 설정하는 데 사용되는 비교적 작은 소프트웨어 프로그램입니다. 확장 프로그램인 PASSWORD MANAGER나 광고 차단기는 대부분의 인기 웹 브라우저(예: Google Chrome, Microsoft Edge, Mozilla Firefox, Apple Safari)에서 사용할 수 있습니다. 대부분의 확장 프로그램은 안전하지만, 잘 알려지고 널리 사용되는 확장 프로그램조차도 사악한 공격자가 삽입한 크립토재킹 코드에 의해 손상될 수 있습니다. 평판이 좋은 확장 프로그램 개발자는 사이버 보안 모범 사례를 따르는 경향이 있지만, 끊임없이 변화하는 사이버 위협 환경에서 해커는 가장 신뢰할 수 있는 개발자조차 끊임없이 표적으로 삼고 가끔은 침투하기도 합니다. 해커는 제로데이 익스플로잇과 같은 기술을 사용하여 가장 신뢰할 수 있는 개발자의 소프트웨어에 암호화 탈취 소프트웨어를 주입할 수 있습니다. 더 쉬운 점은 해커가 사용자를 속여 멀웨어를 다운로드하도록 설계된 가짜 확장 프로그램을 직접 만들어낼 수 있다는 것입니다. 이는 검증된 유용한 확장 프로그램을 만드는 것이 아니라, 사용자를 속여 멀웨어를 다운로드하도록 설계된 가짜 확장 프로그램을 만드는 것입니다. 

• 손상된 JavaScript: JavaScript로 작성된 코드는 크립토재킹에 취약합니다. 해커는 겉보기에 안전해 보이는 JavaScript 라이브러리를 업로드하거나 감염시켜 자신도 모르게 피해자가 손상된 코드를 다운로드할 때 침투할 수 있습니다.    

• 내부자 위협: 불만을 품거나 교육을 제대로 받지 못한 직원 또는 자격 증명을 훔친 위협 행위자와 같은 내부자 위협도 크립토재킹의 일반적인 공격 벡터입니다. 

• 클라우드 기반 공격: 네트워크로 연결된 클라우드 컴퓨팅 시스템은 사이버 범죄자의 공격 벡터를 기하급수적으로 증가시키고 있으며 크립토재킹도 예외는 아닙니다. 대규모 언어 모델(LLM)과 같은 클라우드 기반 인공 지능(AI) 애플리케이션이 최근 계속 급증하면서 하나의 노드에만 침투하여 전체 네트워크로 확산될 수 있는 크립토재킹 공격의 기회가 더욱 많아지고 있습니다.

개인의 경우 다른 작업에 사용되는 컴퓨터에서 백그라운드에서 크립토마이닝 소프트웨어를 실행하는 것은 수익성이 없습니다. 그러나 규모에 따라 이러한 작은 이익이 합산될 수 있습니다. 크립토재킹에 성공한 해커가 다수의 개별 시스템을 감염시킬 수 있을 때 크립토재킹은 수익을 창출할 수 있습니다. 특히 크립토해커는 하드웨어나 에너지 비용을 지불하지 않기 때문입니다. 

일반적으로 크립토마이닝은 리소스 집약적인 절차이기 때문에 합법적인 크립토마이너는 거의 항상 작업에 전용 최고급 하드웨어를 사용합니다. 일부 기업 또는 소비자급 하드웨어는 암호화 화폐 채굴이 가능하지만 모범 사례는 컴퓨팅 리소스의 90% 미만을 채굴 작업에 할당하는 것을 권장하지 않습니다. 

전용 크립토마이닝 장비를 만들고 운영하는 데 드는 비용으로 인해 애호가들은 메인라인 하드웨어에서 채굴하게 되었지만 그렇게 하면 상당한 수익을 창출하는 경우는 거의 없습니다. 그리고 이러한 활동으로 인한 이익은 집중적인 채굴 계산을 수행하는 데 소비되는 추가 에너지 비용뿐만 아니라 값비싼 하드웨어의 마모로 인해 크게 감소하는 경우가 많습니다. 

사업체와 대규모 조직의 경우 운영 속도 저하 및 잠재적인 데이터 개인 정보 보호 침해를 포함하여 크립토재킹 비용이 훨씬 더 큽니다. 비즈니스에 크립토재킹이 미치는 주요 영향은 다음과 같습니다.

크립토재킹 공격은 백그라운드에서 실행되도록 설계되어 가능한 한 오랫동안 숨겨져 알려지지 않은 상태로 유지됩니다. 따라서 크립토재킹 코드는 탐지하기 어려울 수 있습니다. 그러나 시스템이 악성 크립토마이닝 소프트웨어에 감염되었을 수 있다는 몇 가지 명백한 징후가 있습니다.

• 설명할 수 없는 에너지 소비 증가: 크립토마이닝 소프트웨어는 너무 많은 에너지를 소비하기 때문에 갑작스럽고 설명할 수 없는 에너지 소비 급증은 무단 크립토마이닝을 나타낼 수 있습니다. 

• 장치 과열: 암호화폐 채굴로 인해 하드웨어가 과열됩니다. 시스템 하드웨어가 과열되거나 단순히 팬과 냉각 시스템을 더 많이 사용하는 경우 크립토재킹 공격의 증상일 수 있습니다. 

• 설명할 수 없는 속도 저하: 크립토재킹은 컴퓨터 리소스를 고갈시켜 전체 운영 속도를 저하시킵니다. 정상적인 컴퓨팅 작업을 완료하는 데 어려움을 겪는 시스템은 크립토재킹의 일반적인 징후입니다.

• 높은 CPU 사용량: 잠재적인 크립토재킹 공격을 조사할 때 한 지표는 까다롭지 않은 작업을 실행하는 동안 정상적인 CPU 사용량보다 높습니다. 

크립토재킹을 방어하려면 다행히도 일반적인 보안 위생을 위한 다른 많은 주요 사이버 보안 전략과 일치하는 전체적인 접근 방식이 필요합니다. 다음은 일반적이고 효과적인 방어 조치입니다.

• 엄격한 인력 교육: 사이버 위협에서 흔히 그렇듯이, 인적 오류는 가장 지속적이고 잠재적으로 가장 파괴적인 공격 벡터입니다. 피싱 공격, 안전한 검색 및 파일 공유 관행에 대한 교육은 크립토재킹에 대항하는 중요한 첫 번째 방어선입니다. 

• EDR 및 CDR 솔루션: 크립토재킹은 악의적인 공격자와 통신하기 위해 감염된 시스템이 필요하기 때문에 소프트웨어에서 알려진 사이버 범죄 징후를 검사할 수 있는 일반적인 바이러스 백신 도구를 사용하면 크립토재킹을 효과적으로 방지할 수 있습니다.

• JavaScript 비활성화: JavaScript는 크립토재킹을 위한 무르익은 공격 벡터이기 때문에 모든 JavaScript를 비활성화하는 것이 효과적인 방어가 될 수 있습니다.