마이크로소프트가 윈도10용 앱 8개를 자사의 공식 앱스토어인 마이크로소프트 스토어에서 삭제했다. 이 같은 내용은 사이버 보안 기업인 시만텍이 암호화폐 모네로 채굴 코드가 있다는 걸 확인한 것이라고 자사 블로그를 통해 알린 것. 이들 8개 앱은 사용자 동의 없이 모네로 채굴을 하고 있었다고 한다.
시만텍에 따르면 이들 8개 앱에서 악성 모네로 채굴 코드를 지난 1월 17일 발견했고 시만텍 보고에 따라 마이크로소프트가 이들 앱을 모두 삭제했다고 한다. 삭제 날짜는 밝히지 않았다. 또 정확한 다운로드 수나 설치 통계는 알 수 없지만 실제 사용자나 악성봇을 정확하게 반영하고 있는지 여부와 관계없이 평가 1,900건을 받은 상태였다고 한다.
시만텍에 따르면 마이크로소프트 스토어에서 처음 발견한 크립토재킹 사례라고 한다. 이들 앱을 설치하면 CPU를 100% 소비하는 상태가 된다. 크립토재킹은 사용자 동의 없이 PC를 통해 암호화폐 채굴을 수행하는 악성코드를 설치하면서 이뤄지는 것이다.
마이크로소프트 스토어는 인기 무료 앱 목록을 표시하는데 이 중 컴퓨터와 배터리 최적화, 인터넷 검색, 웹브라우저, 비디오 보기와 다운로드 같은 카테고리에서 앞서 언급한 앱이 포함되어 있었다고 한다. 시만텍은 또 정밀 조사를 실시한 결과 이들 앱은 같은 개인이나 조직에 의해 개발됐을 가능성이 높다고 한다.
시만텍은 지난해 4월부터 12월까지 공개된 시료를 바탕으로 코드 검출을 했고 윈도10 교육용 버전을 포함한 모든 앱에서 실행할 수 있는지 여부도 확인했다. 또 이들 8개 앱은 시작과 동시에 여러 태그를 중앙엣 관리할 수 있는 구글 태그 관리자를 바탕으로 채굴용 자바스크립트 라이브러리를 받는다. 일단 채굴을 시작하면 PC의 CPU 파워를 모두 탈취하는 건 물론. 모네로 채굴을 수행하는 코인하이브 자바스크립트 라이브러리를 개조한 버전을 이용한다.
이런 앱은 웹브라우저로부터 독립적으로 시작되며 실행하는 것으로 운영체제 시스템에선 자바스크립트 실행엔진(WWAHost.exe) 프로세스 환경에서 작동하도록 설치된다. 시만텍 측은 자사의 경고를 받아 채굴용 자바스크립트 역시 구글 태그 관리자에서 제거됐다고 한다. 관련 내용은 이곳에서 확인할 수 있다.