2017년 사이버 범죄자들의 대표적 수익모델은 랜섬웨어였다. 악성코드로 컴퓨터의 파일을 암호화시킨 후 인질로 잡아 몸값을 요구하는 방식으로, 익명의 범죄자들이 날로 번창할 수 있었던 수단이었다. 글로벌 보안 소프트웨어 기업 트렌드마이크로의 2017년 종합 보고서에 따르면, 랜섬웨어는 분기당 평균 1억5778만2070건이 발생했을 정도로 기승을 부렸다.

2018년에는 트렌드가 바뀌고 있다. 1년 전만 해도 유행하던 랜섬웨어가 이제 시들해졌다. 트렌드마이크로에 따르면, 2018년 1분기 적발된 랜섬웨어는 지난해 발생건수의 10분의 1 수준(1596만1267건)으로 떨어졌다. 그 많던 랜섬웨어는 왜 사라진 걸까. 아무 이유 없이 사라졌을까.

사이버 보안업계 전문가들은 랜섬웨어보다 ‘수익성’이 좋은 다른 방식으로 사이버 공격이 옮겨간 것이라고 말한다. 트렌드마이크로는 최근 리포트에서 “사이버 범죄자가 랜섬웨어 공격에서 크립토재킹으로 이동했다”고 분석했다.

암호화폐(cryptocurrency)와 납치(hijacking)의 합성어인 크립토재킹은 ‘남 몰래 암호화폐를 마이닝(채굴)하는 도둑질’이다. 지난해 암호화폐가 세계적 붐을 일으키면서 사람들은 컴퓨터의 연산능력을 활용해 비트코인과 모네로 등 암호화폐를 채굴하면 부를 축적할 수 있다는 점을 깨달았다. 하지만 누구나 채굴을 시작할 순 없다. 고도의 연산능력을 가진 장비를 갖추고 채굴작업에 최적화한 물리적 장소를 조성하려면 비용이 많이 든다. 다른 사람의 컴퓨터를 채굴에 몰래 동원하는 방법이 등장한 데는 이런 이유가 있다.

해커들이 암호화폐를 훔치는 법

글로벌 사이버 보안 기업인 카스퍼스키랩이 6월 발간한 보고서에 따르면, 크립토재킹으로 피해를 입은 사람이 2016년 4월~2017년 3월에 189만9236명이었지만 2017년 4월~2018년 3월 사이엔 273만5611명으로 늘었다. 약 44.5% 증가한 셈인데 이마저도 빙산의 일각이란 지적이 나온다. 크립토재킹은 적발이 쉽지 않기 때문이다.

크립토재킹의 아이디어는 간단하다. PC 주인에게 들키지 않도록 해당 컴퓨터나 스마트폰(숙주)에 악성코드를 심는다. 숙주를 감염시키는 법도 복잡하지 않다. 피해자 기기는 별도의 첨부파일을 다운받지 않아도, 악성코드가 숨겨진 웹사이트 접속만으로 감염된다. 일단 감염됐다면 피해자 기기의 CPU를 사용해 암호화폐 채굴에 동원하고, 채굴된 암호화폐를 공격자 기기에 전송한다. 감염된 기기는 CPU 사용량이 늘어난 탓에 과부하가 걸리지만, 대다수 악성코드들은 피해자가 눈치채지 못하도록 장시간에 걸쳐 조금씩 사용하는 침투법을 택하고 있기 때문에 과부하 수준이 미미하다. 랜섬웨어의 경우 피해자는 ‘당했다’는 걸 쉽게 알 수 있지만, 몰래 PC 리소스를 가져다 쓰는 크립토재킹은 나도 모르게 피해를 입게 된다.

크립토재킹으로 마이닝하는 대표적 코인이 ‘모네로’다. 다크코인(익명성이 강화된 코인)인 모네로는 마이닝을 한 특정인을 추적하기 어렵다. 블록 생성에 필요한 시간도 2분 정도로 짧은 편이라 공격자 입장에서 작업하기 쉽다.

크립토재킹은 여러 면에서 효율적인 공격 방법이다. 강장묵 남서울대 교수(빅데이터산업보안센터 센터장)는 “공격하는 사람은 위험은 낮고 이익은 많은 대상을 비즈니스 모델로 삼으려고 하는 게 당연하다”며 “크립토재킹은 암호화폐 마이닝은 회수하기 편하고 리스크가 낮아 사이버범죄 측면에서 유리한 점이 있다”고 지적했다.

파일을 볼모로 금전을 요구하는 랜섬웨어와 달리 크립토재킹은 피해자와 커뮤니케이션을 할 필요가 없으니 범죄자 입장에서는 위험이 덜 하다. 범죄로 얻은 금액을 은닉하거나 돈세탁하기 위해서라면 또 다른 복잡한 구조가 있어야 하지만 암호화폐는 그 자체로 익명성을 가지고 있어서 별다른 준비가 필요 없다. 랜섬웨어처럼 한 번에 큰 이익을 노리는 건 아니지만 안전하고 장기적인 수익을 기대할 수 있다. 또한 피해자의 지불 능력이 변수였던 랜섬웨어와 달리, 크립토재킹은 PC나 스마트폰만 빌려 쓰기 때문에 전 세계 누구에게나 같은 이익을 기대할 수 있다. 바꿔 말하면 잠재적인 표적이 전 지구에 퍼져 있는 셈이다. 크립토재킹으로 향하는 흐름은 가속화되고 있다. 글로벌 IT전문매체인 지디넷은 “이 분야에서 암약하고 있는 범죄자들 가운데는 지난 1년 만에 수백만달러의 이익을 얻은 사람도 있다”고 보도하기도 했다.

크립토재킹이 빠른 속도로 확산하는 덴 이 범죄의 첫 단계인 악성코드를 심기 수월하다는 점도 일조한다. 누군가 악성광고, 해커의 손에 떨어진 웹사이트 등에 접속만 해도 숨겨진 악성파일이 퍼져나간다. 일단 악성코드가 심겨진 기기가 실행을 시작한 뒤부턴 주인의 손에 발견되지 않도록 하는 게 공격자들의 게임 방식이다. 되도록 많은 컴퓨터를 감염시키고 미묘하게 CPU를 사용한다. 조금 욕심을 내기 위해 CPU를 좀 더 사용했다간 범죄자는 자신의 마이닝 장비 1대를 잃을 수도 있다. 장기적 관점에서 적당한 이익을 낼 때까지만 CPU를 이용할 뿐, 발각되기 전까지 CPU를 혹사하지 않는다.

개인에서 기업으로 타깃 변화 감지돼

이런 특성 때문에 그간 크립토재킹의 타깃은 개인 PC였다. 하지만 공격자들도 더 나은 효율을 좇기 위해 타깃을 바꾸고 있다. 크라우드를 노리거나 기업 네트워크를 겨냥한 사례가 늘어나는 이유다. 올해 2월에는 실제로 미국 전기차 기업인 테슬라의 아마존 웹 서버 크라우드 시스템이 크립토재킹의 희생양이 됐다.

크립토재킹이 기업을 노리는 추세는 앞으로 강해질 것이라고 전문가들은 내다본다. 카스퍼스키랩은 8월 7일 기업 네트워크를 겨냥한 신종 암호화폐 악성코드 ‘파워고스트(Power Ghost)’를 공개했다. 파워고스트는 워크스테이션과 서버를 감염시킨다. 하나의 시스템에서 시작해 자동 업데이트 방식으로 기업 전체의 PC와 서버를 감염시킬 수 있다. 이 회사가 파악한 바에 따르면 현재 파워고스트 감염이 집중되고 있는 곳은 인도, 브라질, 콜롬비아, 터키인데 유럽과 북미 전역에서도 속속 발견되고 있는 것으로 알려졌다.

악성코드가 퍼지면 누군가가 패치를 내놓고, 그 뒤 새로운 공격법이 등장하는 게 사이버 보안 전쟁의 전형적인 구조다. 크립토재킹에서도 이미 공격과 수비가 이뤄지면서 전투는 점점 격화되고 있다. 강 교수는 “암호화폐 시장 상황에 따라 다를 순 있지만 이미 크립토재킹 악성코드가 표준이 되고 있다. 개인이나 기업 모두 주의해야 한다”고 말했다.