※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1826호(2017. 12. 13. 발행)에 기고한 원고입니다.


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

웹사이트 방문자의 CPU 파워를 몰래 빌려 가상통화를 채굴하는 수법.pdf



ž 웹사이트 방문자의 PC 자원을 이용해 가상화폐를 채굴하는 스크립트가 더욱 악성화 되어, 브라우저를 닫아도 비밀 리에 PC 자원을 활용해 채굴을 계속하는 수법이 발견되고 있음


Ø 2018년부터 나스닥 선물 거래를 시작한다고 보도된 비트코인 같은 가상화폐의 가격이 폭등함에 따라 해커는 물론 합법적인 웹사이트 운영자들조차도 마음을 뺏기고 있음


Ø 비트코인 및 다른 가상통화를 마이닝 하기 위한 시스템 파워를 웹사이트 방문자의 컴퓨터에서 빌려 주는 자바스크립트 기반의 가상통화 마이닝 서비스는 이미 사이트가 이용하고 있음


Ø 전세계에서 가장 인기 있는 토렌트 다운로드 사이트인 파이어릿 베이(The Pirate Bay)는 브라우저 기반의 가상통화 마이닝 서비스인 코인하이브(Coinhive)를 사용하는 것으로 알려져 있음


Ø 그 밖에도 방문자 트래픽이 많은 수천 개의 웹사이트들은 이제 배너 광고 대신에 브라우저 기반의 가상통화 마이닝 서비스를 이용하여 수익을 얻고자 하고 있음


Ø 이런 방식의 가상통화 마이닝 서비스는 방문자가 웹사이트에 접속해 있을 때에만 가상통화를 채굴할 수 있어서, 브라우저 창을 닫아 사이트를 떠나 버리면 채굴을 위한 컴퓨터 자원에 접근할 수 없게 되어 마이닝 작업이 멈춰 버리는 단점이 있었음


Ø 그러나 보안 소프트웨어를 개발 기업인 멀웨어바이트(Malwarebytes)에 따르면, 방문자가 브라우저 창을 닫아도 백그라운드에서 가상통화 채굴 소프트웨어를 계속 실행시키는 교묘한 속임수를 갖춘 웹사이트들이 최근 발견되고 있음



[이미지 원본 보기 클릭]


ž 멀웨어바이트에 따르면, 어떤 웹사이트들은 작업 표시줄의 뒤에 숨겨진 팝 언더 창을 이용해 방문자 PC의 컴퓨터 파워를 사용해 가상통화 마이닝을 계속한다고 함


Ø 알고 나면 매우 간단한 방법으로 보이지만, 보안 연구원들에 따르면 이 방법은 알아차리기 어렵고, 교묘하게 숨어 있어 대부분의 광고 차단기를 우회한다고 함


Ø 가상통화 채굴 서비스는 아마존 웹서비스에서 호스팅 되는 엔진에서 실행되고 있으며, 팝 언더 창에서 실행되는 코드는 CPU 사용률 게이지가 움직이는 것이 보여 발각되지 않도록 임계값을 중간 레벨로 유지하도록 설정하는 교묘한 기법을 사용하고 있음


Ø 대책 방법은 작업 표시줄에 브라우저 아이콘이 남아 있다면 닫아버리거나, 작업 관리자를 실행하여 실행중인 브라우저 프로세스가 남아 있지 않은지 확인하는 것이라고 함


Ø 또한 브라우저 자체는 가상통화 마이닝을 차단하지 않기 때문에 접속하는 웹 페이지의 가상통화 마이닝을 자동으로 차단해주는 바이러스 백신 프로그램을 사용하거나, ‘노코인(NoCoin)’ 같은 브라우저 확장 기능을 사용해 마이닝을 차단하는 방법도 있다고 함