※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1872호(2018. 11. 14. 발행)에 기고한 원고입니다.


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

신흥 암호화폐 채굴 거점 몽골, 채굴을 넘어 블록체인 강국으로 도약 모색.pdf



[ 요 약 ]


암호화폐 업계에 세계적인 지각 변동 조짐이 보이고 있음. 암호화폐 마이닝의 총본산이었던 중국이 규제를 강화하고 세계 곳곳에서 거래소 해킹과 거액의 인출 사건이 발생하며 암호화폐 열풍이 진정되는 사이 몽골이 새로운 거점으로 부상하고 있음. 우선은 중국과 인접한 지리적 여건과 추운 기후, 낮은 전기요금으로 마이닝 업체들의 주목을 받는 것이지만, 인구 300만의 몽골을 암호화폐 경제의 테스트베드로 삼으려는 몽골 IT기업과 외국 기업들의 행보를 눈여겨볼 필요가 있음



[ 본 문 ]


2000년대 이후 광산 붐이 도래했던 몽골에서는 최근 천연자원 채굴에 뒤이어 암호화폐 마이닝 붐이 전국가적으로 일고 있음


인구 약 300만 명, GDP 110억 달러에 불과한 몽골은 2000년대 이후 석탄과 구리 광산이 새로 발견되며 한차례 광산 붐이 도래한 바 있는데, 최근에는 암호화폐 파도가 밀어닥치며 많은 사람들이 천연자원의 뒤를 이을 새로운 보물섬에 몰려들고 있음


몽골의 암호화폐 열풍은 그야말로 국가적인 것이어서, 가령 몽골의 주요 상업은행인 TDB(몽골 무역개발은행) 산하에서 광산 기계 등의 임대 사업을 담당하는 ‘TDB 리스의 경우도 암호화폐 마이닝에 열을 올리고 있음


TDB 리스는 광산의 채굴량에 기복이 있다 보니, 광산 기계 임대 위주 사업에서 탈피를 모색하기 시작했고, 그동안 소비자용 자동차 리스나 항공기 리스 등에 진출하는 등 임대 서비스 다각화를 추진해 왔는데, 그러던 중 새로운 사업으로 암호화폐를 만나게 되었음


광산 사업을 진행 중인 TDB 리스가 보기에, 실제 광산 채굴은 채굴량에 편차가 있는데다 국제무역 가격이 심하게 변동하는데, 암호화폐도 가격 변동이 있다는 점은 같지만 컴퓨터 자원에 따라 채굴량을 어느 정도 전망할 수 있어 비교적 안정된 사업으로 간주된다고 함


암호화폐 채굴은 임대 비즈니스 모델 정립도 용이한데, 일반적인 임대의 경우 가령 광산 기계를 임대해도 석탄을 안정적으로 생산 할 수 있다는 보증이 없고, 리스해 준 기업이 부진에 빠지면 대금을 회수하지 못할 위험이 크기 때문에 대출시 정밀한 여신 심사가 필수적임


반면 암호화폐 마이닝이라면 기계가 가동되고 있는 한 암호화폐를 얻을 수 있고 리스 수수료를 충당할 수 있는 수준으로만 채굴이 된다면 리스 수수료를 떼일 위험을 낮출 수 있기 때문에 장비를 리스해 줄 기업이나 개인의 신용도에 관계없이 임대 서비스를 전개 할 수 있음


몽골의 암호화폐 붐을 반영하여, 201710월에는 몽골 내 최초의 암호화폐 거래소인 트레이드 몽골(Trade.mn, mn은 몽골의 인터넷 국가 코드 최상위 도메인)’이 개설되었음


<자료> Trade,mn

[그림 1] 몽골 최초의 암호화폐 거래소 ‘TRADE’


트레이드 몽골에는 10개 이상의 암호화폐 라인업을 갖추고 있으며, 사용자 수는 2만 명 정도이고, 몽골 암호화폐 거래의 85%가 이 거래소를 통해 이루어진다고 하는데, 현재는 몽골 국내 사용자 중심이지만 한국을 비롯, 중국, 일본, 러시아 사용자도 꽤 있다고 함


트레이드 몽골의 운영업체는 몽골의 IT 대기업인 ‘ICT GROUP’의 계열사인데, ICT GROUP은 현재 몽골에는 암호화폐 관련 조세 제도가 존재하지 않기 때문에서 외국인에게 위험할 수 있으나, 앞으로 거래에서 외국인이 차지하는 볼륨은 더 늘어날 것이라 내다보고 있음


ICT GROUP이 관여하는 것은 거래소 운영에 그치지 않아, 암호화폐 마이닝 장비의 하우징 사업과 클라우드 마이닝 사업에도 진출하고 있으며, 증권거래소의 국채 판매 플랫폼과 젤 몽골(ZELL.MN)’이라는 대출 플랫폼을 블록체인으로 구축하고 있음


ICT GROUP은 다방면에 걸쳐 암호화폐 관련 사업을 전개하고 있지만, 향후 성장을 내다보고 특별히 투자를 늘리고 있는 부문은 암호화폐 마이닝 사업임


ICT GROUP의 자회사로 IT 기업으로는 처음으로 몽골 증권거래소에 상장된 아이툴즈(itools)’2018년 여름 몽골 제2의 도시인 다르항(Darkhan)에 세 번째 채굴 농장(mining farm)을 건설했고, 이미 200여 고객과 계약이 끝난 상태라 밝힌 바 있음


몽골에서 암호화폐 마이닝이 각광받고 있는 이유는 무엇보다도 국경을 맞대고 있는 중국에서 마이닝 사업의 불투명성이 점점 높아지고 있다는 점과 무관치 않음


한때 비트코인의 90% 이상을 소수 중국인이 보유하고 있다는 말도 나돌 정도로 중국의 암호화폐 마이닝 사업은 세계 최대 규모를 자랑했으나, 중국 정부가 규제를 강화하면서 암호화폐의 미래에 대한 불투명성도 높아지고 마이닝 풀도 줄어든 것으로 알려져 있음


그러나 마이닝 풀의 운영에서 중국 사업자들은 여전히 존재감을 나타내고 있는데, 국제 금융 기관들의 보고에서 따르면 대규모 마이닝 풀의 60~70%를 중국 업체들이 차지하고 있음


<자료> BLOCKCHAIN

[그림 2] 비트코인 마이닝 풀의 국가별 점유율


마이닝 기계의 가동 중지 기간이 길어질수록 이익은 줄어들기 때문에, 마이닝 사업자들은 사업에 차질이 생기면 한시라도 빨리 다른 지역에서 기계를 가동시키고 싶다는 생각을 갖게 되는데, 이런 배경에서 중국의 마이닝 사업자 중 일부는 북쪽 몽골을 선택하고 있음


 마이닝 팜의 중단 기간을 단축하려면 얼마나 단기간에 이전할 수 있을지가 관건이 되는데, 몽골이라면 장비를 3일 내에 옮기는 것이 가능한 거리이기 때문에, 몽골 내에 사업자가 보유한 기존 시스템을 가동시킬 수 있는 설비만 있으면 단기간에 이전이 가능한 장점이 있음


 이런 이유로 중국 마이닝 팜의 몽골 진출이 늘어나고 있는데, 중국 사업자들은 대개 500~1,000대 규모의 시스템을 가지고 있다고 하며, 몽골의 은행 관계자와 중국 업체가 손을 잡고 2,000대의 마이닝 시스템을 운용하는 경우도 있다고 함


그러나 몽골의 암호화폐 마이닝 붐은 결코 중국 사업자들만의 이야기가 아니며, 다수의 몽골 시민이 높은 관심을 갖고 있다는 점에서 그 배경에 대해 눈여겨 볼 필요가 있음


 외국 기업의 몽골 진출 컨설팅을 주 사업으로 하는 기업 KR은 최근 암호화폐 마이닝 지원사업을 시작했는데, 지금은 고객 스스로 기계 가동을 위한 환경을 구축하고 있지만 향후에는 마이닝 특화 설비를 패키지로 제공하는 하우징 서비스에도 착수한다는 계획임


KR측에 따르면 현재는 컴퓨터를 좋아하고 자금에 여유가 있는 개인 고객이 많다고 하며 본업을 하면서 암호화폐 채굴을 취미로 겸하는 경우도 많다고 함


KRCEO20대의 청년으로, 자신들의 세대에서는 몽골을 지하자원에 의존하지 않는 국가로 만들어 나갈 것이라는 결의를 밝히고 있는데, 이는 몽골인들이 암호화폐 마이닝을 단순히 일회성 유행 사업으로 바라보지 않고 있음을 시사함


KR의 경우 소액 금융 사업의 준비를 진행해 오는 등 다양한 금융 관련 사업을 계획하고 있는데, 암호화폐 마이닝은 그러한 중장기 계획의 시발점이 되고 있음


KR의 젊은 CEO는 몽골인은 말 위에서 지내온 민족으로 말과 함께 달리며 사물을 판단해 왔기 때문에, 빠르게 변화하는 세계 환경과 궁합이 좋은 국민성을 가지고 있다고 말함


이런 단면들은 한때 유라시아에 대제국을 구축했던 몽골이 급변하는 암호화폐의 세계를 계기로 삼아 다시 한 번 세계로 도약을 꿈꾸는 것이 아닌가 하는 추측을 불러일으킴


몽골이 중국의 마이닝 사업을 유치하고 국민들이 마이닝에 관심을 가질 수 있는 근본적인 이유는 암호화폐에 대한 관망적 입장으로 사실상 사업 여지를 주고 있는 몽골 정부의 태도임


몽골의 금융조정위원회에 소비자들로부터 원 코인(One Coin)’이라는 암호화폐에 대한 불만이 접수되자 몽골 금융당국은 자체 조사를 거쳐 201710월에 암호화폐에 대한 주의를 촉구하는 고시를 발표하였음


고시의 요지는 위원회 조사 결과, 원 코인(One Coin)은 사기 요소가 강한 것으로 판단되며, 결국 비트코인과 이더리움 같은 대표적 코인을 포함해 암호화폐는 투자의 대상으로는 위험이 높다는 것이었음


몽골의 중앙은행에 해당하는 몽골은행 역시 암호화폐 영역을 주시하고 있으며, 마이닝에 대한 투자에도 주의를 요한다는 입장인데, 만일 장비의 수입에 수개월이 걸린다고 가정하면 이미 해외에서는 차세대 모델이 등장해 마이닝 경쟁에서 불리해질 가능성이 있기 때문


몽골 정부가 투자자 보호의 관점에서 암호화폐에 경계감을 가지고 있는 것은 확실하나, 눈여겨 볼 점은 고시 발표 후 1년여가 지난 지금까지 규제는 존재하지 않고, 규제 도입을 위한 구체적인 움직임도 보이지 않는다는 것


몽골의 민간 기업은 몽골 정부의 규제 움직임에 대해 낙관하고 있는데, 이러한 환경 덕에 외국의 마이닝 사업자들에게 몽골은 더 없이 매력적인 장소로 비쳐지고 있음


몽골 정부는 20177월에 전자 화폐에 관한 규제를 공표했고 그 정의에 암호화폐는 포함하지 않았는데, 일각에서는 몽골 정부가 아직 암호화폐에 대한 정보가 부족해 추진도 규제도하지 못하는 게 현실이고 당분간 관망의 자세를 유지할 것으로 보고 있음


몽골 정부는 현재 중국, 한국, 일본을 비롯한 외국의 규제 동향을 조사 중이며 외국 관계 당국과 정보 교환도 하고 있는데, 각국 정부의 규제 시책이 어떤 결과를 가져오는지 보고 나서 자국의 정책을 결정해도 늦지 않다는 입장임


민간 기업들은 정부 규제에 대해 더 낙관하고 있는데, 만약 규정이 생긴다 해도 규제보다는 산업 장려의 의도가 짙은 내용이 될 것으로 기대하고 있음


아이툴즈를 비롯한 몽골의 IT 기업들은 암호화폐나 블록체인의 장점을 정부에 충분히 설명하고 있으며, ICT GROUP은 암호화폐 마이닝이 외국 기업을 유치할 수 있는 좋은 기회가 될 것이라 적극 옹호하는 입장임


이러한 규제 환경은 외국의 마이닝 사업자들에게 매력적인데, 외국에서 마이닝 기계를 수입 해 올 경우 탈세 등 위법 행위가 없다면 별다른 제재가 없기 때문


특히 지리적으로 인접한 중국 마이닝 사업자들의 관심이 높은데, 몽골 정책 당국은 암호화폐 거래소에 아직까지는 중국의 그림자는 보이지 않지만, 마이닝 영역에서는 상당수 중국 사업자가 들어오고 있다고 보고 있음


규제 환경 외에 외국의 마이닝 사업자가 몽골을 선택하게 만드는 실무적 이유로는 추운 기후와 저렴한 전기 요금으로 채굴 비용을 크게 낮출 수 있다는 점


마이닝 시스템은 온도 관리가 매우 중요한데, 칩이 불타는 등의 문제를 막기 위해 계산 능력을 억제하게 되면 그만큼 마이닝의 효율이 떨어지는 문제가 발생하게 되고, 연산능력을 높여 채굴을 하게 되면 냉각 설비의 운전비용이 과다하게 소요되어 채산성에 문제가 발생하기 때문


이런 이유로 마이닝 업체들은 냉각 비용을 낮출 수 있는 추운 곳을 선호하는데, 여름이 매우 짧아 10월 하순부터 평균 기온이 섭씨 0도까지 내려가고 겨울에 영하 20도 날씨가 지속되는 몽골은 사람이 살기에는 척박하지만 마이닝 시스템 운영에는 최적의 환경이 됨


<자료> The Economist

[그림 3] 온도와 전기요금 관리가 중요한 채굴장


마이닝 팜은 기계가 내뿜는 열을 팬으로 흡입해 건물 밖으로 빠져 나가게 설계하는데, 외부 온도가 낮아질수록 실내 온도도 내려가기 때문에 몽골의 기후환경은 1년 내내 마이닝 시스템을 상시 가동시키기에 최적의 조건이 되는 것임


한편 암호화폐 마이닝의 세계에서는 날씨와 함께 전기 요금도 중요 고려요소가 되는데, 가령 가장 인기가 높은 비트코인 마이닝 시스템은 ASIC이라는 전용 기계를 사용해 빠른 연산 처리를 계속하는데 그 과정에서 많은 양의 전기를 소모하는 문제가 발생하기 때문


통상 1BTC(비트코인 단위)를 마이닝 하는 데 필요한 전기 요금이 8,000 달러 이하이면 채산성이 있다고들 하는데, 몽골의 전기 요금은 세계 평균보다 30% 가량 저렴한 편이어서 비트코인 채굴의 채산성을 맞추기가 상대적으로 수월한 수준이라고 함


중국의 마이닝 기업들이 채굴에 적합한 몽골의 제반 환경에 착목해 몽골 진출을 가속화환다면, 일본의 기업들은 마이닝 기계의 유지보수 밸류체인을 중심으로 몽골에 진출하고 있음


일본의 암호화폐 전자지갑 스타트업인 긴코(Ginco)는 몽골에 현지 법인을 설립하고 몽골 수도 울란바토르에 마이닝 팜을 건설하고 있는데, 고객이 보유한 마이닝 시스템의 가동 환경을 구축해 주는 하우징 서비스와 시스템을 유지관리해 주는 운영대행 서비스를 제공함


올해 8월에는 암화화폐 마이닝 기계의 제조 및 판매에서 세계 최대기업인 중국 비트메인 (Bitmain)으로부터 수리 라이선스도 취득했는데, 비트메인이 자사 이외에 수리 능력을 인정한 첫 번째 사례라고 함


지금까지 마이닝 기업들이 비트메인에 수리를 의뢰하면 운송 기간을 포함 해 1~2개월이 소요되었고, 그 동안은 시스템을 가동할 수 없기 때문에 기업들은 앉아서 손실을 입어야 했음


이런 문제 해결을 위해 긴코는 미리 비트메인으로부터 정식 부품을 구입해 두고 최단 1주일 내에 수리를 완료한다는 계획 하에 라이선싱을 취득한 것이며, 운영 대행 서비스의 옵션에 통합하는 것을 검토 중임


일본 암호화폐 기업들의 몽골 진출은 마이닝에 한정되지 않고, 블록체인 기반의 새로운 인터넷 서비스 시장까지 내다보고 진출하고 있다는 점에서 주목할 만함


긴코의 경우 블록체인에서 실행되는 ‘DApps’(디앱, Decentralized Apps, 비집중형 분산 애플리케이션)이 세계를 덮는 토큰 이코노미(token economy)’ '시대를 내다보고 있는 스타트업이며, 처음 출시한 서비스도 암호화폐 전자지갑 앱임


이 앱은 비밀 키의 생성·보관, 암화화폐의 수취·송금·결제, 블록체인에 대한 접근 등의 기능을 갖추고 있으며, 6 종류의 블록체인과 14 종류의 암호화 자산을 지원하고 있음


암화화폐의 거래에서는 개인 키가 필수적이나 현재 우리나라를 비롯 대부분 국가에서는 암호화폐 거래소가 집중적으로 관리하고 있고 대부분의 사용자는 개인 키를 보유하고 있지 않음


각 개인이 거래소에 지시하여 자신이 맡긴 암호화폐 등의 자산을 이동시키고 있을 뿐인데, 만일 거래소가 관리하는 개인 키가 무단으로 유출될 경우 사용자들의 자신이 쉽게 해킹 위험에 노출될 우려가 있음


블록체인이 사실상 해킹이 불가능한 구조라 하지만 심심치 않게 해킹이 발생했다는 소식이 이 이어지는 것이 바로 이 같은 구조 때문인데, 거래소 자체는 블록체인 네트워크에 속한 것이 아니기 때문에 해킹의 위험으로부터 자유로운 곳이 아님


긴코는 현재의 인터넷 공간에서는 사용자에게 재산권이 없지만 블록체인의 세계에서 이를 뒤바꿔 놓을 것이라 말하고 있는데, 이는 비단 암호화폐 거래에 국한된 이야기가 아니며 사용자의 정보를 독점하고 있는 페이스북, 구글 등 거대 플랫포머로부터 독립을 겨냥한 것임


일본 기업들은 몽골을 암호화폐 서비스 주도권 확보를 위한 기술개발의 테스트베드로 적극 활용하겠다는 입장인 것으로 보이며, 여기에 몽골 IT 기업들도 적극적으로 호응하고 있음


긴코 앱을 사용하면 개인 키의 데이터를 사용자가 스마트폰 등으로 직접 관리 할 수 있게 되는데, 서비스의 목적은 이것에 한정되지 않음


조만간 다양한 블록체인을 기반으로 한 DApps(디앱)들이 다수 등장할 전망인데, 그렇게 되면 사용자가 직접 자신의 개인 키를 보유하고 이용할 수 있는 구조가 필요하며, 긴코는 암화화폐 지갑 앱을 재빨리 제공하여 디앱의 입구를 장악하겠다는 전략을 세우고 있음


<자료> xTech

[그림 4] 블록체인 기반의 DApps(비집중형 앱시대 도래를 겨냥한 긴코 앱



지난 10월에는 기존 암호화폐 거래소를 통하지 않고 긴코 앱에서 암화화폐를 환전할 수 있는 기능도 구현함으로써, 디앱 시대에 필요한 기술 조각들을 채워나가고 있음

  

몽골의 마이닝 사업도 긴코 앱을 고도화하기 위한 전략의 일환인데, 이 사업은 몽골의 대표 IT 기업인 아이툴즈와 공동으로 전개하는 것이기도 하며, 아이툴즈는 긴코 앱과 직결되는 클라우드 마이닝 서비스의 개발을 추진하게 됨


긴코와 아이툴즈의 행보에서 공동으로 감지할 수 있는 것은 몽골을 단순한 마이닝 거점이 아니라 글로벌 암호화폐 서비스의 테스트베드로 활용해 향후 시장을 주도하겠다는 의도임


에스토니아가 국가 기반을 블록체인으로 하겠다는 계획으로 세계의 주목을 받을 수 있는 것은 인구 130만 명의 소국이어서 국가 차원 실험이 가능하기 때문인데, 기존 시스템이 충분히 발전해 있지 않고 인구 규모도 300만 명인 몽골 역시 테스트베드로서는 좋은 조건이기 때문


몽골이 암호화폐 마이닝의 새로운 거점으로 떠오르는 것은 우연한 것으로 볼 수 있으나, 블록체인의 다크호스로 부상할 기회를 확보한 것이니 만큼, 향후 행보에 관심을 가져볼 필요가 있음


몽골의 암호화폐 마이닝 사업은 중국과 인접해 있고, 기후가 춥고, 전기요금이 싸기 때문에 가능했던 것이고, 암호화폐 열기가 사그라진다면 함께 없어질 수도 있을 것임


그러나 몽골의 IT 기업들은 단순히 마이닝 사업에만 초점을 맞춰 사업을 전개하지 않고 블록체인 이코노미까지 염두에 두고 몽골에 진출한 외국 기업들과 적극 제휴에 나서고 있음


<자료> BITMAX GLOBAL

[그림 5] 몽골 최초의 비트코인 국제 컨퍼런스 개최



이런 움직임에 세계 각국도 호응하고 있는데, 올 초 1월에 몽골에서 최초로 개최된 비트코인 관련 국제 컨퍼런스인 암호화폐 국가 컨퍼런스(Crypto Nation Conference)'에는 전세계에서 1,200여 명이 참가해 높은 관심을 표한 바 있음


암호화폐를 기회로 볼 것인가 위협으로 볼 것인가 하는 것은 세계 공통의 화두가 되었지만, 몽골 정부가 두 입장 사이에서 전략적 모호성을 견지하는 사이 몽골은 규제, 기후, 사업환경으로 인해 암호화폐 대국으로 가는 길을 닦아 나가고 있는 것임


블록체인 기술 자체도 그렇지만 디앱이나 토큰 이코노미 영역은 이제 막 초기 시장에 접어들었으며 몇몇 기업들이 주목받고 있지만 누가 승자라고 말할 수 없는 단계임


아직은 모두 비슷한 출발선 상에 있다고 볼 수 있는 만큼, 몽골 역시 블록체인 인터넷의 강국이 되지 말라는 법은 없으며, 몽골의 환경은 블록체인과 암호화폐 기술의 국가 차원 테스트베드로서 호조건을 갖추고 있기 때문에 오히려 잠재력은 더 크다고 볼 수 있음


지난 8월에는 몽골 정부가 우리나라의 한 암호화폐 거래소를 방문하여 몽골의 태양광 에너지 사업에 블록체인과 암호화폐를 적용하는 것의 타당성에 대해 협의한 바 있음


몽골에서의 성과를 토대로 자신들의 블록체인 기반 서비스를 글로벌 표준으로 만들려는 외국 기업들의 시도도 늘어날 것으로 예상되는 바, 지리적으로 인접해 있는 우리나라 블록체인 기업들도 테스트베드로서 몽골의 가치에 대해 보다 적극적으로 검토해 볼 필요가 있음

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1820호(2017. 11. 1. 발행)에 기고한 원고입니다.


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

악성 코드 설치 없는 시스템 해킹 방법, &lsquo;파일 없는 공격&rsquo; 증가 추세.pdf



[ 요 약 ]


시스템에 외부 공격자가 침입해 감염시키는 것은 대개 첨부파일 실행이나 악성 실행 파일의 클릭을 통해 이루어지나파일 없는 공격은 파일 실행 없이 사용자가 악성 사이트로 연결되는 링크를 클릭하면 이후 몇 단계의 작업을 거쳐 사용자가 눈치 못 채도록 정보를 해커에게 전송하는 기법임최근 파일 없는 공격을 이용한 금융 기관 공격과 비트코인 채굴을 위한 채굴 프로그램 유포 시도가 급증하고 있는데백신으로도 쉽게 알아차리기 어려운 만큼 각 개인의 각별한 경각심이 필요함



[ 본 문 ] 



ž 발자국 없는 공격(Zero-footprint attack), 매크로, 비멀웨어 공격(non-malware attack) 등으로도 불리는 파일 없는 공격(fileless attack)에 대한 경고의 목소리가 커지고 있음


Ø 이런 공격은 사용자의 컴퓨터에 소프트웨어를 설치하는 행위를 수반하지 않기 때문에 바이러스 백신 도구들이 놓칠 확률이 다른 유형의 공격보다 높음


Ø 파일 없는 공격은 또한 승인된 애플리케이션만 시스템에 설치되도록 허용하는 화이트리스팅(whitelisting)도 빠져나가고 있는데, 이미 설치된 응용프로그램을 이용하거나 화이트 리스트 목록에 올라 있는 승인된 앱을 이용하기 때문


Ø 하지만 파일 없는 공격이나, 발자국이 없다거나, 멀웨어 방식이 아니라는 표현은 엄밀히 말해 정확한 것은 아닌데, 이런 공격은 종종 사용자의 악성 첨부파일을 다운로드 행위를 틈타기 때문이고, 시스템 상의 해당 위치를 보면 찾아 보면 흔적이 남아있기 때문


Ø 보안 전문가들에 따르면 완전히 흔적 없는 멀웨어란 실제로는 존재하지 않으며, 비록 하드 드라이브에 자신을 설치하지 않더라도 멀웨어를 감지하는 방법이 있다고 함


Ø 또한 안티 바이러스 프로그램들 역시 확장자가 exe인 파일이 설치되지 않더라도 악성 첨부파일이나 악성 링크를 찾아낼 수 있기 때문임


Ø 그러나 해커들은 파일 없는 공격을 통해 자신들이 침입에 성공할 가능성이 높아진다는 것을 알고 있으며, 그런 생각을 가지고 있다는 사실이 바로 진짜 위험이라고 전문가들은 지적함




[1] 파일 없는 공격의 작동 방식 사례

1단계

- 사용자가 악성 웹사이트로 가는 링크가 포함된 스팸 메시지를 받음

2단계

- 사용자가 링크를 클릭함

3단계

- 악성 웹사이트는 사용자의 컴퓨터에 보안 취약점이 있는 어도비 플래시를 로딩함

4단계

- 플래시는 윈도우 파워셸 도구를 여는데, 파워셸은 명령어 라인을 통해 지시 사항을 실행할 수 있으며 메모리에서 작동함

5단계

- 파워셸은 해커의 실행과 제어(C&C) 서버로부터 스크립트를 다운로드 받아 실행

6단계

- 파워셸 스크립트는 사용자의 데이터 위치를 알아내 해커에게 전송

<자료> CSO, IITP 재정리


ž 보안 솔루션 기업 카본 블랙(Carbon Black)에 따르면, 파일 없는 멀웨어 공격의 비율은 최근 1~2년 새 급증하고 있음


Ø 카본 블랙이 자사 보안 솔루션을 이용하는 기업의 실제 사례를 근거로 집계한 데이터에 따르면, 2016 1월에 3%였던 파일 없는 공격의 비율은 작년 말에 13%로 크게 증가하였음


Ø 이런 증가 추세는 올해도 계속되고 있는데, 현재 시스템 감염 피해건수 3건 중 하나는 파일 없는 공격과 관련된 요소를 가지고 있음


Ø 보안 프로그램의 설정을 너무 엄격히 해 놓으면 업무에 지장을 줄 수도 있어, 일부 기업들은 외부의 모든 공격을 차단하도록 설정하는 대신 경고 메시지만 띄우는 것을 선택하기 때문에, 카본 블랙은 파일 없는 공격의 영향력이 실제로는 더 크다고 보고 있는데, 시스템 침입에 성공한 공격의 절반 이상이 파일 없는 공격이라고 함.


Ø 카본 블랙은 허니팟(honeypot), 즉 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템을 이용함으로써 공격이 나타나기를 가만히 기다렸다가 공격자가 무엇을 하려 하고 어떻게 확산되어 가는지를 추적하는 것도 좋은 대응 방법이라고 조언함


Ø 이렇게 함으로써 허니팟을 제외한 나머지 시스템 환경 전체를 확실하게 공격으로부터 보호할 준비를 마칠 수 있다고 함


ž 해커의 입장에서 보면 피해자의 컴퓨터에 새로운 소프트웨어가 설치되도록 하는 것은 주의를 끄는 일이기 때문에, 파일 없는 공격을 선호할 수밖에 없음


Ø 피해자의 시스템에 파일을 놓지 않으면 보안 프로그램이 엄격히 작동하지 않기 때문에, 해커가 파일 없는 공격이나 인메모리 공격 방식을 선택한다면 기업이나 보안 회사로서는 훨씬 더 골치를 썩게 되며 해킹의 성공 가능성은 더욱 높아짐


Ø 이 때문에 해커들은 파일 없는 공격을 선호하게 되는데, 카본 블랙이 1천개 이상의 고객 기업을 대상으로 자사 솔루션의 보호를 받는 250만 개 이상의 컴퓨터에 대해 분석한 결과 2016년에 거의 모든 기업과 컴퓨터가 파일 없는 공격을 받은 것으로 나타났음


Ø 공격자 입장에서 보면 파일 없는 공격이라고 해서 성능이 떨어지는 것도 아니고 페이로드는 완전히 똑같기 때문에 훨씬 더 매력적인 기법임


Ø 보안 기업 맥아피(McAfee) 역시 파일 없는 공격이 증가하고 있다는 점을 보고하고 있는데, 파일 없는 멀웨어의 상당한 비중을 차지하고 있는 매크로 멀웨어는 2015년 말 40만 개에서 2017 2분기 현재 110만개 이상으로 증가하였음


ž 맥아피에 따르면 이처럼 매크로 멀웨어가 늘어난 이유 중 하나는 파일 없는 공격 기법의 취약점 공략을 포함하는 사용하기 편한 도구들이 등장했기 때문임


Ø 그 결과 이전에는 주로 국가 주도의 공격을 비롯한 고급 공격자들만 사용할 수 있었던 파일 없는 공격이 지금은 민주화 되어 누구나 접근할 수 있게 되었음


Ø 이 파일 없는 공격을 위한 도구들은 금정적인 이익을 목적으로 한 공격에서 널리 사용되고 있으며, 사이버 범죄자들은 이를 활용해 랜섬웨어를 확산시키고 있음


Ø 급증하는 파일 없는 공격에 대처하기 위해 맥아피 등 주요 바이러스 백신 제공업체들은 기존의 서명 기반 방어 기법에 더해 행위 기반(behavior-based) 분석을 도입하고 있음


Ø 행위 기반 방어 기법이란 가령 파워셸 접속이 이루어지는 것을 보자마자 MS 워드가 실행된다면, 이를 매우 의심스러운 행위라 판단해 그 프로세스를 격리하거나 혹은 중지시키기로 결정함으로써 시스템을 보호하는 것을 말함


ž 파일 없는 공격은 이미 사용자의 컴퓨터에 설치된 안전하다고 생각되는 응용프로그램을 이용하는 것이므로, 방어를 위해서는 애플리케이션의 보안 업데이트가 아주 중요함


Ø 파일 없는 공격 도구에 포함된 취약점 공략 키트는 가령 웹 브라우저의 취약점을 희생양으로 삼아 브라우저에서 악성 코드가 실행되도록 할 수 있고, MS 워드의 매크로나 파워셸의 기능 등을 이용할 수도 있음


Ø 파일 없는 공격이 실행되기 위해서는 이미 설치되어 있는 소프트웨어에 존재하는 취약점이 필요기 때문에, 시스템 방어에 있어 가장 중요한 것은 OS뿐만 아니라 응용프로그램도 같이 패치 하거나 업데이트를 적용하는 것임


Ø 특히 웹 브라우저 플러그인은 패치 관리 프로세스에서 가장 간과되기 쉬운 부분이며, 파일 없는 감염 공격에서 가장 표적이 되는 취약점임


Ø MS 오피스의 매크로를 활용한 공격은 매크로 기능을 해제함으로써 위축시킬 수 있는데, 사실 이 기능은 디폴트로 비활성화 되어 있으므로 만일 공격자가 감염된 문서가 열리게 한다면 사용자가 해당 매크로를 활성화 하는데 명시적으로 동의를 해주어야 함


Ø 그럼에도 일부 사람들은 별 생각 없는 동의로 감염 문서를 열고 있으며, 특히 아는 사람으로 위장하여 매크로 문서를 열도록 공격하는 스푸핑의 경우에 더욱 그러함


Ø 해커들은 어도비 PDF 뷰어의 취약점이나 자바스크립트의 취약점도 표적으로 삼을 수 있는데, 피해망상이 큰 사람일수록 감염되지 않으려고 브라우저의 자바스크립트 실행을 꺼버리는 경우도 있지만, 그런 경우는 사이트 이용이 아예 불가능해진다는 또 다른 문제가 발생함


ž 최근 파일 없는 공격은 특히 금융기관이나 신용정보 기관을 대상으로 이루어지고 있어 자칫 대규모의 치명적 피해가 발생할 가능성이 있으므로 이들 기관의 각별한 주의가 필요함


Ø 지난 9월 발생한 미국의 대형 신용정보 회사 이퀴팩스(Equifax)의 정보 유출 사건도 파일 없는 공격의 사례인데, 이 사건은 웹 애플리케이션 개발 프레임워크인 아파치 스트럿츠(Apache Struts)의 명령어 주입 취약점을 이용하였음


Ø 이런 유형의 공격은 취약점이 있는 응용프로그램에서 사용자의 입력을 제대로 검증하지 않음으로써 일어나는데, 사용자의 입력에 OS 명령이 포함되어 있는 경우가 있고, 그 결과 이 명령어들은 취약한 애플리케이션과 동일한 권한 레벨로 피해자의 시스템에서 실행됨


Ø 이런 메커니즘은 안티 멀웨어 솔루션들을 완전히 사각 지대에서 공격하는 셈인데, 백신 프로그램들은 그 애플리케이션이 자연스러운 코드를 실행하고 있지 않은지 여부를 결정하기 위해 해당 애플리케이션의 실행 경로를 주목하고 있지는 않기 때문임


Ø 아파치 스트럿츠의 보안 패치가 올해 3월에 공개되었으므로 이퀴팩스가 패치를 했더라면 9월의 정보 유출 사건은 막을 수 있었을 것임


Ø 올해 초에 파일 없는 공격이 40개 나라에서 은행, 통신사, 정부 기관을 포함해 총 140개 이상의 기업을 감염시켰는데, 보안기업 카스퍼스키 랩은 감염된 기업들의 네트워크 상에 있는 리지스트리에서 악성 파워셸 스크립트를 발견하였음


Ø 카스퍼스키에 따르면 파일 없는 공격의 탐지는 오로지 RAM, 네트워크, 리지스트리에서만 가능


Ø 카본 블랙에 따르면 또 다른 잘 알려진 파일 없는 공격의 예로는 미국 민주당 전국위원회에 대한 해킹이 있는데, 가능한 한 오랫동안 감지되지 않고 남아 있기를 바라는 해커 입장에서 파일 없는 공격은 레이더 망에 걸리지 않게 해주는 기술임


Ø 침입 감지를 회피하기 위해 파일 없는 공격 기술을 활용하는 사이버 스파이 활동도 다수 목격할 수 있는데, 최근의 사례로는 중국과 북한 팀의 공격이 있었다고 함


ž 파일 없는 공격을 부당한 금전적 이익을 얻기 위해 응용하는 새로운 시도는 비트코인을 채굴하기 위해 감염된 머신을 사용하는 것임


Ø 비트코인 채굴자들은 메모리에 직접 로딩되는 채굴 프로그램을 실행을 시도하고 있는데, 이터널 블루(Eternal Blue)를 이용해 기업 전체에 수십 만개의 채굴 프로그램을 확산시키고 있음


Ø 이터널 블루는 마이크로소프트의 서버 메시지 블록(SMB) 프로토콜 구현에 존재하는 보안 취약점을 공략하는 것으로 미 국가안보국(NSA)가 개발한 것으로 알려져 있음


Ø 비트코인 채굴 난이도는 계속해서 높아지고 있는데 비트코인의 가치가 높아지는 속도를 훨씬 웃돌고 있으며, 이에 따라 비트코인 채굴자들은 전용 하드웨어를 구매하거나 전기 요금을 지불해야 하기 때문에 이윤을 내는 것이 매우 어려워지고 있음


Ø 그러나 기업의 PC와 서버를 하이잭킹 함으로써 비트코인 채굴자들은 하드웨어 구매 비용이나 전기요금을 감당할 필요가 없어지게 됨


Ø 강력한 병렬 처리가 가능한 CPU의 사용을 최대 한도로 끌어 올릴 수 있다면 누군가의 노트북을 사용하는 것보다 훨씬 낫다는 말이 있는데, 기업들은 시스템이 비트코인 채굴에 이용되고 있는 징후를 알아내기 위해 CPU 사용률이 비정상적이지 않은지 살펴볼 필요가 있음


ž 파일 없는 공격의 탐지와 대응은 기업의 노력 만으로는 부족하며, 이용자들이 특이한 동작이 발생했을 때 즉각 알아차릴 수 있도록 평상시 경각심을 가지는 것이 중요함


<자료> Techies Journal


[그림 1] 파일 없는 공격의 위험 인식 필요


Ø 행동 기반 분석 시스템이 적용되어 있다고 해도 파일 없는 공격을 모두 탐지 할 수 있는 것은 아니므로, 이용자들 각자가 평소와 다른 비이상적 이벤트가 언제 발생하기 시작했는지를 알아차리는 것이 중요함


Ø 예를 들어, 나의 사용자 계정이 무단으로 사용되고 있다든지, 지금까지 이전에는 통신하지 않았던 다수의 시스템들과 접속을 시작하는지 등을 잘 알아차려야 함


Ø 파일 없는 공격은 경고가 작동하기 전까지는 잡아내기 어려우며, 또한 행위 기반 알고리즘이 감시 대상으로 삼고 있지 않은 방식으로 작동한다면 알아차리기 어려움


Ø 공격자가 눈에 띄지 않게 신중하고 더디게 공격하는 데 많은 노력을 들이는 경우에도 공격을 탐지하기란 훨씬 어려워짐


Ø 사람은 자신의 눈에 보이는 것을 선택하는 편향이 있기 때문에 우리가 볼 수 있는 것은 우리 눈에 쉽게 발각되는 어설픈 것들뿐이며, 상대방이 매우 은밀하게 조심스럽게 움직인다면 우리는 그것을 볼 수 없음


Ø 파일 없는 공격이 위협적인 이유는 바로 그런 인간 감각의 한계를 공격자는 잘 알고 활용하는 반면 희생자들은 전혀 자각하지 못하기 때문임