못믿을 플래시 업데이트?…채굴 악성코드 '감염'
2018.10.12 오후 6:04
팔로알토 유닛42 "업데이트 동시에 채굴 프로그램 내려받아 PC 무단 사용"
[아이뉴스24 성지은 기자] 어도비 플래시 업데이트 프로그램으로 위장한 암호화폐 채굴 악성코드가 유포되고 있다. 실제 업데이트도 가능해 합법적인 것처럼 보이지만, 악성코드에 감염시켜 사용자 몰래 암호화폐를 채굴하는 것이 특징이다.

미국 사이버 보안기업 팔로알토네트웍스의 보안 전문조직 유닛42는 12일 이를 경고했다.

가짜 플래시 업데이트 프로그램이 플래시를 최신 버전으로 업데이트하면서 동시에 암호화폐 채굴 프로그램(XMRig)을 내려보내 사용자 몰래 PC 등 IT 장비를 이용한다는 것.

플래시는 동영상, 인터넷 응용 프로그램 등에 폭넓게 사용되는 플러그인 기반 서비스. 인터넷 서비르릅 발전시키는 데 일조했지만, 비표준 기술로 악성코드 유포 등에 번번이 악용돼 어도비는 2020년 서비스를 종료하기로 했다.



유닛42 조사에 따르면, 해커들은 가짜 플래시 업데이트 프로그램을 내려받는 인터넷주소(URL)로 사용자를 연결한다. 이후 사용자가 가짜 프로그램을 내려받아 실행하면, 업데이트가 이뤄지는 동시에 채굴 프로그램도 다운로드 된다.

덕분에 해커는 사용자 몰래 PC에 채굴 프로그램을 내려받고 중앙처리장치(CPU) 등 컴퓨팅 자원을 활용해 암호화폐 모네로(XMR)를 채굴할 수 있다.


가짜 프로그램은 어도비 플래시 플레이어(AdobeFlashPlayer__)로 시작하는 파일명을 갖고 있으며 클라우드 웹 서버를 통해 배포된다. 또 URL에 다음과 같은 문자열(flashplayer_down.php?clickid=)을 포함했는데, 회사는 올해 3월 25일부터 약 6개월간 이 문자열이 포함된 가짜 파일 473개를 발견했다.

브래드 덩컨 유닛24 위협정보 분석가는 팔로알토네트웍스 리서치센터 블로그를 통해 "(해커들이) 공식 어도비 설치 프로그램에서 알림창을 빌려왔다"며 "플래시 업데이트도 이뤄져 피해자가 이를 발견하지 못할 수 있다"고 말했다.

◆암호화폐 가격 하락에도 암호화폐 채굴 공격 '극성'

최근 비트코인 등 암호화폐 가격이 폭락하면서 암호화폐에 대한 대중적인 관심이 줄어들었지만, 해커들은 여전히 채굴 악성코드를 애용한다. 특히 익명성이 높아 수신자를 추적하기 어려운 암호화폐 '모네로' 등을 선호하고, 보안이 취약한 사물인터넷(IoT)을 감염시켜 채굴에 악용하는 것으로 조사됐다.

최근 국내 보안기업 안랩은 V3, 윈도 기본 백신 등으로 위장한 암호화폐 채굴 악성코드를 발견한 뒤 경고했다. 또 러시아 보안기업 카스퍼스키랩은 이동식미디어장치(USB)를 매개로 채굴 악성코드가 유포되는 사례가 늘고 있다며 주의를 당부했다.

글로벌 보안기업 트렌드마이크로 또한 '2018 중간 보안 위협 보고서'를 통해 자사가 탐지한 올 상반기 암호화폐 채굴기 탐지 횟수는 78만7천146건으로 전년 상반기(7만4천547건) 대비 956% 증가했고, 전년(40만873건)에 비해서는 96%로 늘었다고 밝혔다.



사이버 범죄자는 랜섬웨어 등으로 공격력을 과시하기보다 가치 있는 컴퓨팅 자원을 탈취해 금전적 이득을 취하는 형태로 공격법을 바꾸고 있다고 트렌드마이크로 측은 평가했다.

최근 한국을 방문한 데릭 맨키 포티넷 글로벌 보안전략가는 "암호화폐 채굴 공격이 최근 가정용 IoT 장치로 이동하고 있다"며 "이들 장치는 언제나 연결돼 이용할 수 있는(Always-On) 상태로 있기 때문에 기기에 악성코드를 침투시켜 채굴에 활용한다"고 설명했다.

이어 "한국에서는 웹 카메라, 라우터 CCTV, 영상저장장비(DVR) 등 IoT 기기에 대한 취약점 공격이 심각하다"며 ""네트워크 분할을 통해 기기 연결을 구분(Segmentation)하고 접근을 통제하며, IoT 보안을 위해서는 모든 기기를 신뢰하지 않는 '제로 트러스트(Zero Trust)' 기반 정책이 필요하다"고 조언했다.

/성지은기자 buildcastle@inews24.com
이 기사에 질문하기!

관련기사