보안 취약점 노린 암호화폐 ‘몰래 채굴’

보안 취약성 탓에 20만 대가 넘는 라우터를 통해 암호화폐를 몰래 채굴하는 피해가 발생했다고 한다. 보안 기업 트러스트웨이브에 따르면 마이크로틱(MikroTik) 라우터의 보안 취약점을 노린 해킹이 이뤄졌고 피해자 PC를 통해 암호화폐 채굴에 악용되는 피해가 확산되고 있다는 것.

이 해킹 수법은 마이크로틱 라우터의 취약점을 악용, 네트워크에 연결되어 있는 PC에 코드를 올리고 피해자가 모르는 새 암호화폐 채굴 서비스인 코인하이브(Coinhive)를 이용해 암호화폐인 모네로(Monero) 채굴을 한다는 것이다. 트러스트웨이브 조사에선 17만 대가 넘는 마이크로틱 라우터를 대상으로 해킹이 이뤄졌고 피해 대부분은 브라질에선 발생하고 있다.

해커는 코인하이브 코드를 웹사이트나 유튜브 광고, 다른 소프트웨어 등에 숨겨 웹페이지를 열면 코드를 실행시키거나 브라우저 오류 페이지가 표시될 때에도 코드 실행을 하는 등 원격으로 암호화폐 채굴을 하고 있다.

다른 조사에서도 비슷한 수법으로 마이크로틱 라우터를 통해 암호화폐 채굴을 몰도바에서 수행한다는 내용이 나왔다. 몰도바에서도 2만 5,000명 이상 피해를 받았다고 한다.

이번 해킹의 원인이 된 마이크로틱 라우터의 취약점은 지난 4월 펌웨어 업데이트를 제공하면서 수정된 바 있다. 하지만 PC나 스마트폰 같은 제품과 달리 라우터를 업데이트를 사용자가 그리 많지 않다는 점 탓에 여전히 취약점을 악용하고 있는 것이다. 브라질이나 몰도바 등에서 발견되긴 했지만 마이크로틱 라우터가 전 세계에서 쓰이고 있다는 점을 감안하면 앞으로 피해가 더 커질 가능성이 지적되고 있다.

암호화폐에 대한 관심이 높아지면서 해킹을 통한 몰래 채굴 피해도 늘어나고 있다. 앞서 해킹에서 이용한 코인하이브의 경우 얼마 전 URL 단축 기능을 악용해 암호화폐 채굴을 하는 일이 발생하기도 했다. 당연히(?) 웹사이트 방문자 모르게 채굴을 하도록 해 이익을 가로채는 방식이다.

코인하이브 자체는 전용 자바스크립트를 사이트에 넣어 웹사이트 방문자에게 암호화폐인 모네로 채굴을 시키는 구조다. 웹사이트를 방문하는 사람은 별다른 액션을 하지 않아도 사이트 운영자에게 이익을 가져다준다는 점에서 새로운 수익원으로 관심을 두기도 한다. 반면 일부 해커가 악용하는 사례가 끊이지 않아 부정적인 입장도 많은 게 사실이다.

코인하이브는 URL 단축 기능을 제공하는데 지난 7월초 보고에 따르면 URL 단축 기능을 악용, 다른 사이트로 방문자를 유도해 채굴을 하도록 하는 수법이 나타난 것이다. 코인하이브 단축 URL 기능의 경우 단축 URL을 누르고 페이지가 로딩될 때 일정 대기시간을 두고 그새 채굴을 수행해 수익을 올린다. 그런데 여기에 관련 없는 페이지 HTML 소스에 아이프레임 태그를 살짝 얹어 자신의 사이트로 옮겨오도록 하고 채굴을 시킨 것이다. 아이프레임 태그 자체는 1×1 픽셀에 불과해 평범한 방식으로는 발견하기 어렵다고 한다.

어쨌든 이 과정을 거쳐 페이지를 열면 원하는 페이지가 나타날 때까지 대기시간 동안 CPU 파워를 100%로 끌어올린다. 대기시간은 코인하이브 설정에서 해시값을 바꿔 자유롭게 바꿀 수 있는데 보통은 1024지만 일부에선 무려 371만 2,000해시를 설정해놓은 곳도 있었다고 한다.

그 뿐 아니라 미리 설정한 해시값에 도달해 페이지가 열릴 때 다시 같은 페이지를 불러들여 다시 채굴을 시키는 수법도 있다고 한다. 이런 구조를 인지하지 못한 사용자 입장에선 왜 페이지가 다시 로딩될까 생각하겠지만 이 상황에서도 CPU 파워가 비정상적으로 증가하고 있었던 것이다. 코인하이브 측에 따르면 이 같은 CPU 파워 무임승차를 막으려면 마이너블록(MinerBlock)이나 노코인(No Coin) 같은 브라우저 확장 기능을 설치하는 것도 방법이다.

코인하이브를 악용한 암호화폐 채굴의 문제점은 몰래 한다는 것이다. 지난해 12월 아르헨티나 부에노스아이레스에 위치한 스타벅스 매장 내 와이파이 서비스를 통해 몰래 채굴하는 사태가 발생하기도 했다. 스타벅스 측은 곧바로 ISP 측에 연락을 취해 조치를 취했지만 커피 한 잔에 와이파이를 즐기려던 고객 입장에선 황당한 몰래수익 창출원 노릇을 한 셈이 됐다.

코인하이브를 악용한 피해 외에도 올초에는 사토시 코인 로버(Satori Coin Robber)라는 멀웨어가 등장하기도 했다. 이 멀웨어는 암호화폐 채굴기를 감염시켜 채굴 소프트웨어 지갑 주소를 훔쳐 수익을 아예 강탈하는 악성코드였다.

사토시 코인 로버는 사물인터넷 기기를 공격하는 악성 코드에서 파생된 것으로 암호화폐 채굴 수익을 송두리째 빼앗는다. 이 멀웨어는 암호화폐 채굴 소프트웨어인 클레이모어 마이닝(Claymore Mining)을 이용하는 PC를 감염시킨다. 피해는 주로 윈도 시스템에서 확인됐으며 PC 내 클레이모어 마이닝에 감염되면 PC에 들어가 있는 이더리움 주소 등 암호화폐 지갑 주소가 해커의 손에 들어간다. 사토시 코인 로버는 암호화폐 채굴 여부를 확인한 뒤 파일을 업데이트해 지갑 주소를 새 것으로 바꿔 리부팅을 해버린다.

암호화폐의 채굴이라는 구조 그리고 사물인터넷 등 네트워크에 연결되는 기기가 계속 늘어난다는 반면 보안 취약점에 대한 지적이 나온다는 점을 감안하면 앞으로도 이 같은 채굴 악용 사례는 꾸준히 발생할 가능성이 높을 것으로 보인다.