Trend Micro
최근 가상화폐(암호화폐) 열풍이 일면서 해커들이 유튜브 광고에 가상화폐 채굴 악성코드를 심어 개인 PC를 채굴기로 만드는 사례가 급증한 것으로 나타났다.
보안기술 업체인 트렌드 마이크로(Trend Micro)가 26일(현지시간) 공개한 자료에 따르면 해커는 구글의 더블클릭 광고 플랫폼을 악용해 유튜브 방문자들에 악성코드가 삽입된 광고를 노출시킨 뒤 접속하면 사용자 모르게 가상화폐 모네로(Monero·XMR)를 채굴해 해커의 전자 지갑으로 전송하도록 만든 것으로 나타났다.
트렌드 마이크로는 보고서에서 "18일부터 5개의 악의적인 도메인에서 채굴 트래픽이 증가했으며 24일 현재 코인하이브 광부(가상화폐 채굴자)의 수가 285% 급증했다"고 지적했다. 트래픽은 구글의 더블클릭 광고에서 발생했는데, 주로 일본, 프랑스, 대만, 이탈리아, 스페인 등지의 유튜브 방문자 PC에서 급증했다고 밝혔다.
이번 사태는 구글이 채굴 악성코드 광고를 발견하고 차단조치에 나선 24일 이후부터 트래픽이 감소하며 진정됐다.
발견된 더블클릭 악성코드 광고 10건 중 9건은 가상화폐 채굴 암호 해독 서비스 코인하이브(Coinhive)가 제공하는 공개 자바스크립트(JavaScript)를 사용하여 PC가 모네로를 채굴하도록 만들었다.
나머지 악성코드 광고 10%는 변형 자바스크립트를 이용해 사용자 PC가 채굴한 모네로 전리품의 30%를 코인하이브 측이 수수료로 가져가는 것을 차단시켜 더 높은 수익을 챙겼다.
두 가지 모두 악성코드 광고에 노출된 PC는 사용자가 인식하지 못하도록 은밀하게 모네로 채굴에 이용된다. CPU의 80%가 암호 해독에 사용하도록 프로그래밍 되어 있어 PC가 급격하게 느려지고 전력 사용량이 증가하는 현상을 겪게 된다.
구글은 정보기술 매체 기즈모도에 "광고를 통한 암호 해독은 구글 정책을 위반하는 비교적 새로운 형태의 위협이며 구글에서는 이를 적극적으로 모니터링하고 있다"면서 "구글의 다중 계층 탐지 시스템을 통해 새로운 위협이 확인되면 2시간 마다 업데이트 되며 해당 광고는 발견 즉시 차단시켰다"고 밝혔다.
그러나 트렌드 마이크로가 분석한 유튜브 악성코드 광고 노출 기간은 7일이었다. 유튜브 대변인은 불일치에 대한 지적에 대해 논평을 거부했다고 기즈모도는 전했다.
유튜브에 대해 잘 알고 있는 한 소식통은 유튜브가 밝힌 2시간 단위의 탐지 시스템은 광고 전체를 말하는 것이 아니라 해커가 등록하는 개별 광고에 적용되고 있다고 기즈모도에 설명했다.
유튜브는 해커가 설정한 깨끗한 계정으로 제출된 광고를 승인하고, 이것이 노출되기 시작하면 해커는 악성코드가 삽입된 광고로 바꿔치기 하는 클로킹(cloaking) 방법을 사용한다. 몇시간 후에 악성코드 광고는 탐지되어 삭제 되고 해커는 계정을 삭제한다. 하지만 이같은 계정 세탁과 악성코드 광고 노출을 반복하면서 유튜브의 시스템을 무력화시킨다는 것이다.
보안 전문가들은 월간 이용자수가 15억 명이 넘는 유튜브 플랫폼이 이런 채굴 해킹에 이용된 것은 주목할만한 문제라며 거대 기술 기업들이 이러한 신종 가상화폐 악성코드 공격에 발빠른 대응에 나서야 한다고 지적했다.
한편, 모네로는 블록체인 기반의 뛰어난 익명성과 보안 성능에 특화되어 자금의 이동경로가 파악되지 않아 범죄 조직들의 자금세탁 경로로 악용된다는 지적을 받아 왔다. 북한도 모네로에 관심을 보이고 있다. 미국 보안업체 에일리언볼트는 지난달 24일 모네로를 채굴해 북한 김일성종합대학교 서버로 보내는 악성코드가 발견됐다고 밝힌 바 있다.
특히 암호 해독 채굴 서비스인 '코인하이브(Coinhive)'의 공개 자바스크립트를 활용하면 전 세계 네트워크에 연결된 불특정 다수의 저사양 가정용 PC나 안드로이드 스마트폰으로도 채굴이 가능해 혁신적인 서비스로 주목을 받으면서 해커들의 신종 범죄 수단으로 악용되고 있다.
코인하이브의 공개용 채굴 서비스 방식이 악용된 것은 비교적 최근이다. 코인하이브의 채굴용 자바스크립트는 원래 웹 사이트 소유자가 방문자의 컴퓨터 처리능력을 활용하여 가상화폐 모네로를 채굴하도록 만들어진 방식이다. 웹사이트 소유자는 방문자에게 코인하이브의 채굴 방식을 적용하고 있다는 것을 공지하고 이 스크립트가 방문자의 PC 처리능력을 일방적으로 점유하지 않는 한 웹사이트 운영자가 트래픽을 수입으로 전환시키는 획기적이고 윤리적인 방식이었다.
그러나 지난해 12월 말 구글 웹브라우저인 크롬의 일부 확장 프로그램에서 코인하이브 자바스크립트가 무단으로 실행되는 것이 처음 발견됐다. 이 사건은 해킹 범죄 세계에서 가상화폐를 얻기 위한 채굴(암호 해독)을 위해 다른 사용자의 PC의 CPU를 탈취하는 새로운 방식으로 주목을 받고 있다.
가상화폐 열풍이 불고 있는 국내에서도 모네로 채굴을 위한 다양한 해킹시도가 급증한 것으로 나타났다.
글로벌 보안기업 체크포인트는 최근 리눅스 서버와 윈도 서버를 감염시키고 모네로를 채굴하는 신종 악성코드 '루비마니어'를 발견했다고 밝혔다. 현재까지 700여개의 서버가 감염된 것으로 알려졌다.
국내 보안기업 하우리는 입사 지원 이메일, 중고 물품 구매 이메일 등을 가장해 모네로 채굴 악성코드를 유포하는 이메일이 발견됐다며 사용자 주의를 당부했고, 백신 프로그램 '알약'의 이스트시큐리티는 한국어와 이모티콘을 사용한 '한국 맞춤식' 내용에 악성파일을 첨부한 악성 이메일을 유포하고 있다고 지적했다.