기업을 위한 IT 전문 파트너
  • 새소식
안랩, 악성코드도 아닌데, 내 PC로 가상화폐 채굴하는 이것은?
  • 제조사
  • 게시일 : 2018-12-24
  • 조회수 : 236
  • SNS공유 페이스북 트위터
최근 정상적인 동영상 플랫폼 서비스 사이트에서 사용자 PC의 자원을 이용해 가상화폐(암호화폐)를 채굴하는 사례가 확인됐다. 그러나 해당 사이트가 해킹 당했거나 사용자가 악성코드에 감염된 것은 아니다. 도대체 어떻게 된 일인지, 또 미처 인식하지 못한 상태에서 불필요한 피해를 입지 않기 위해 주의할 점은 무엇인지 알아본다.



 


일부 동영상 사이트에서 사용자가 동영상을 실행하면 브라우저 마이닝 방식을 통해 가상화폐 채굴 스크립트가 동작해 사용자 PC의 자원으로 가상화폐를 채굴하는 것으로 확인됐다. 브라우저 마이닝(Browser Mining)은 사용자의 웹 브라우저를 이용해 가상화폐를 채굴(Mining)하는 기법으로, 채굴 관련 자바스크립트가 존재하는 웹 사이트에 사용자가 방문하면 사용자 웹 브라우저의 자원을 이용해 가상화폐를 채굴한다. 일반적으로는 채굴 작업에 앞서 사용자의 동의를 받는다. 그러나 공격자들이 브라우저 마이닝 기법을 악용해 정상적인 웹 사이트를 해킹한 후 사용자의 동의를 묻지 않고 몰래 채굴하는 크립토재킹(Cryptojacking, 불법적인 가상화폐 채굴)이 최근 빈번하게 발생하고 있다.


한편, 이번에 확인된 동영상 사이트를 통한 채굴 피해 사례의 특징은 가상화폐 채굴 공격과 달리 채굴 스크립트가 웹 사이트나 게시글 웹 페이지에 적용된 것이 아니라 동영상 자체에 적용되어 있다는 점이다. 즉, 해당 동영상을 호스팅하는 서버에 브라우저 마이닝이 적용되어 있어 사용자가 [그림 1]과 같은 동영상을 클릭했을 때 가상화폐 채굴 스크립트가 동작하고 채굴 작업이 진행된다.
 



[그림 1] 동영상에 적용되어 있는 가상화폐 채굴 스크립트



여기에 이번 피해 사례의 핵심이 있다. 즉, 이번 사례는 해킹이나 악성코드 감염에 의한 크립토재킹이 아니라 사용자가 알지 못 했을 뿐, 채굴과 관련해 사실상 사용자의 동의를 받았다는 점이다. 해당 동영상의 호스팅 업체는 [그림 2]와 같이 브라우저 마이닝에 대해 공지해 사용자 PC의 CPU를 통해 가상화폐 채굴 작업이 진행된다는 것을 알리고 있다.
 



[그림 2] 동영상 호스팅 업체의 브라우저 마이닝 안내문


 

지금까지 호스팅 업체들은 대부분 단순 배너 광고 또는 팝업 광고를 통해 수익을 형성했으나 최근 가상화폐 채굴을 통한 새로운 수익을 도모하고 있는 추세다. 이러한 업체들은 위와 같이 안내 문을 통해 사용자 동의 여부를 언급하고 있지만, 문제는 대부분의 사용자가 이를 읽지 않고 지나치는 경우가 많다는 점이다. 무료 유틸리티 프로그램을 설치할 때 사용자들이 불필요한 프로그램(PUP)의 설치 여부를 확인하지 않고 지나치는 것과 같은 개념이다.


한편, [그림 1]의 난독화된 동영상 소스를 복호화한 결과에 따르면, 사용자가 해당 동영상을 시청하는 동안 정상적인 가상화폐 채굴 스크립트가 사용자 시스템 상에서 동작해 가상화폐를 채굴하는 것이 확인됐다. 즉, 사용자가 해당 동영상을 보는 동안 PC의 CPU 리소스 사용량이 [그림 3]과 같이 급증한다.
 



[그림 3] 가상화폐 채굴 작업에 의한 CPU 과다 점유
 

이번 사례와 같이 사용자가 미처 인식하지 못 했을 뿐 사용자의 동의 하에 프로그램이 실행될 경우, 이를 악성 행위로 간주할 수 없게 되어있다. 따라서 프로그램 설치 시 함께 설치되는 프로그램 구성 요소뿐만 아니라 서비스 이용 시 제공되는 안내문을 상세히 살펴보는 습관이 필요하다. 불필요한 피해를 방지하기 위해 안내문을 꼼꼼히 살펴보고 무심코 동의 버튼을 클릭하는 일이 없도록 유의해야 하며, 의심스러운 부분이 있을 경우 설치를 취소하는 것이 바람직하다.

 

[출처 : 안랩(((www.ahnlab.com)]

인터파크 큐브릿지 IT영업부
자세히보기
  • Office 365
  • CCT
TOP