정용환 기자
마이크로소프트와 인텔이 2021년 4월 26일(현지시간) 기업용 보안 플랫폼인 마이크로소프트 디펜더 포 엔드포인트(Microsoft Defender for Endpoint)에 타사 단말을 무단 사용해 암호화 자산을 채굴하는 스크립트 재킹에서 장치를 보호하는 기능을 통합했다고 발표했다.
최근에는 비트코인을 비롯한 가상통화 가격이 상승하는 영향으로 제3자 장치를 이용해 가상통화를 채굴하는 스크립트 재킹을 실행하는 악성코드가 급증하고 있다. 스크립트 재킹을 실행하는 악성코드는 전형적인 멀웨어 방지 대책을 피하기 위해 정교한 검색이 점점 어려워지고 있다.
따라서 마이크로소프트와 인텔이 협력해 악성코드가 난독 처리된 경우에도 스크립트 재킹 징후를 감지, 장치를 보호하는 CPU 기반 위협 탐지를 이용해 기능을 개발했다. 새로운 기능은 인텔 실리콘 수준 위협 감지 기능 세트인 TDT(Intel Threat Detection Technology)에 근거하는 것이며 기업용 보안 플랫폼인 마이크로소프트 디펜더 포 엔드포인트에 통합된다.
최근에는 가상 통화 상승에 따라 스크립트 재킹이 급증하고 있으며 한 조사에선 2020년 4분기에는 3분기에 비해 스크립트 재킹이 53%나 증가했다고 한다. 스크립트 재킹은 가상 통화 채굴에 필요한 자원을 무단으로 가져오기 때문에 장치 속도가 저하되는 등 문제가 발생하게 된다.
스크립트 재킹 악성코드는 가상 머신을 방패로 삼거나 바이너를 난처하기 해 전형적인 보안 소프트웨어를 피하려는 시도를 한다. 사용자 장치가 스크립트 재킹 악성코드를 설치하면 본체나 가상 머신에서 가상 통화 채굴이 이뤄진다. CPU가 처리하는 명령 성능 등에 대한 원격 측정 데이터는 CPU 성능 모니터링 장치 PMU에 의해 기록된다.
인텔 위협 탐지 기술인 TDT는 PMU가 보낸 데이터에 기계학습을 적용한 최소한 처리로 악성코드가 실행될 때 특유의 징후를 감지한다. CPU 기반 모니터링을 실시하는 것으로 악성코드 난독화와 가상머신 사용 등 보안 소프트웨어 대책에 관계없이 스크립트 재킹을 감지할 수 있는 구조다.
TDT가 통합된 마이크로소프트 디펜더 포 엔드포인트는 스크립트 재킹을 실행하는 소프트웨어와 프로세스를 몇 초 안에 차단, 장치 컴퓨팅 파워가 낭비되는 걸 방지한다. 새로운 기능은 6세대 이후 인텔 코어 프로세서와 인텔 브이프로 플랫폼을 사용하는 사용자가 이용 가능하게 된다. 마이크로소프트 측은 이번 파트너십은 OEM과 기술 파트너 협업에 대한 지속적 투자의 예라면서 마이크로소프트가 칩 제조사와 긴밀하게 협력해 하드웨어 기반 방어 강화에 대한 새로운 가능성을 모색하고 사이버 위협에 대한 강력하고 탄력적인 보호를 제공하고 있다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
