크립토재킹 대재앙: 크립토마이닝의 4기사 물리치기

비트코인과 기타 암호화폐의 가격 변동에도 불구하고, 크립토재킹(Cryptojacking)은 여전히 비즈니스, 중소기업 및 일반 소비자들에게 심각한(종종 은폐된) 위협입니다.

또한, 이러한 위협 중 가장 은밀한 위협은 브라우저를 통한 크립토마이닝(Cryptomining)으로, 자주 사용되는 형태의 맬웨어가 사용자의 장치를 크립토재커(Cryptojacker)라고 불리는 풀타임 암호화폐 채굴 봇으로 변환시키려는 시도를 합니다.

이러한 트렌드를 창의적으로 이해하는 데 도움이 되도록 제가 즐겨 사용하는 교육 방식에 조금 과장법을 섞어 말씀드리겠습니다. 피해자들 중 일부가 생각하는 대로 크립토재킹의 물결을 대재앙이라고 본다면, 요한계시록의 4기사는 엔드포인트 또는 비즈니스에 대한 네 가지 위협이라고 볼 수 있습니다.

  • 백색 : 소비하거나 낭비하는 에너지
  • 적색 : 제한된 자원으로 인한 생산성 손실
  • 흑색 : 시스템에 가해질 수 있는 손상
  • 청색 : 생성된 취약점으로 인한 보안 관련 사항

돈을 요구하기 위해서는 사용자가 보아야 하는 랜섬웨어와 달리, 크립토재커의 작업은  CPU 성능 그래프나  장치의 팬에 무언가 정상이 아니라는 것이 나타날 수는 있더라도 기본적으로 백그라운드에서 보이지 않게 실행됩니다.

랜섬웨어 변종의 효과와 ROI는 VirusTotal과 같은 공개 피드에 노출되자마자 감소하기 때문에 랜섬웨어 작성자들은 지난 2년 동안 크립토재킹을 더 많이 사용하기 시작했습니다.

사이버 범죄자들은 수익성 높은 비즈니스를 운영하는 모든 이들과 마찬가지로 재무 목표를 달성하기 위해 끊임없이 새로운 방법을 모색해야 합니다. 바로 이 문제를 해결하기 위해 크립토재킹이 사용되고 있는 것이죠.

2018년 4월, SonicWall은 크립토재킹 트렌드, 즉 맬웨어에 코인하이브(Coinhive)를 사용하는 트렌드를 추적하기 시작했습니다. 지난 1년 동안 저희는 크립토재킹의 변화를 목격했습니다. 그 기간 동안 SonicWall은 약 6천만 건의 크립토재킹 공격을 기록했으며 2018년 9월에만 1,310만 건의 공격을 기록한 바 있습니다. 2019년 SonicWall 사이버 위협 보고서에 발표된 바와 같이, 2018년의 마지막 분기에는 그 규모가 감소했습니다.

전세계 크립토재킹 공격 | 2018 4~9

크립토마이닝의 미끼

크립토마이닝 작업은 점점 인기를 얻고 있으며 현재 전세계 전기 소비량의 약 0.5%을 소비하고 있습니다. 극심한 가격 변동에도 불구하고 합법적으로 채굴하는 비트코인 비용의 약 60%가 에너지 소비입니다. 사실, 이 기사를 작성하고 있는 현시점의 비트코인 가격은 합법적으로 채굴하는 비용보다 낮습니다.

사이버 범죄자들은 장비 구입 및 유지 보수와 비교할 때 이러한 비용과 위험 요소가 없기 때문에 다른 사람의 자원으로 암호화폐를 창출하고자 하는 강력한 동기 부여를 갖습니다. 크립토마이너로 10대의 컴퓨터를 감염시키면 하루 100달러까지 벌 수 있으므로 크립토재커가 해야 할 일은 다음 세 가지입니다.

  1. 목표물을 찾습니다. 특히 학교나 대학과 같이 동일 네트워크에 수많은 기기를 보유하고 있는 조직이 주로 목표물이 됩니다.
  2. 가능한 한 많은 컴퓨터를 감염시킵니다.
  3. 가능한 한 오랫동안 숨어 있어야 합니다. (랜섬웨어와는 다르고 전통적인 맬웨어에 더 가깝죠.)

크립토재커는 맬웨어와 유사한 기술, 즉 의도하지 않은 다운로드, 피싱 캠페인, 브라우저 내 취약점 및 브라우저 플러그인 등을 사용하여 엔드포인트에 접근합니다. 그리고, 물론 소셜 엔지니어링 기술을 통해 가장 취약한 링크인 사람에게 의존합니다.

제가 크립토마이너에 감염되었나요?

크립토마이너는 여러분의 처리 능력에 관심이 있으며, 크립토재커는 은폐를 통해 이익을 취해야 합니다. 이들이 취하는 CPU 리소스의 양은 이들의 목적에 따라 다릅니다.

적은 양을 빼돌리면 사용자가 이상한 낌새를 눈치채지 못하기 때문에 발견하기가 어렵습니다. 더 많은 양을 훔치면 이익이 늘어나겠죠? 두 경우 모두 성능에 영향을 미치지만 임계값이 충분히 낮으면 합법적인 소프트웨어와 채굴자를 구별하는 것이 어려울 수 있습니다.

엔터프라이즈 관리자는 자신의 환경에서 알 수 없는 프로세스를 찾아내고, Windows 최종 사용자는 Sysinternals Process Explorer 를 실행하여 실행 중인 프로그램을 확인해야 합니다. Linux 및 macOS 사용자는 같은 이유로 시스템 모니터(System Monitor)와 활동 모니터(Activity Monitor)를 각각 사용하여 조사해야 합니다.

크립토마이너 방어 방법

크립토마이너에 대한 첫 번째 방어 단계는 알려진 파일 기반 위협을 제거하는 가장 좋은 방법 중 하나인 방화벽 또는 전자 메일 보안(경계 보안)을 통해 게이트웨이에서 이러한 유형의 맬웨어를 차단하는 것입니다.

사람들은 오래된 코드를  다시 사용하고 싶어하기 때문에 코인하이브와 같이 크립토재커를 잡아내는 것 역시 간단한 첫 번째 방어 단계였습니다. 하지만, 2019년 2월에 코인하이브는 공개적으로 3월 8일에 운영을 중단한다고 발표했습니다. 이 서비스는 “더 이상 경제적으로 실용적이지 않다”고 밝혔으며 “작동 중단(Crash)”이 비즈니스에 심각한 영향을 미쳤다고 밝혔습니다.

이 소식에도 불구하고, SonicWall은 그 빈자리를 채울 새로운 크립토재킹 변종과 기술이 크게 증가할 것이라고 예측하고 있습니다. 크립토재킹은 그 은닉성 때문에 악의적인 행위자가 여전히 선호하는 방식이 될 수 있습니다. 피해자에 대한 경미하고 간접적인 피해 때문에 노출될 가능성이 낮고 성공적인 공격의 수명이 연장되기 때문입니다.

맬웨어 변형이 알려지지 않은 경우(새로운 것이거나 업데이트된 경우), 경계 보안에서 정적 필터를 우회할 것입니다. 파일을 알 수 없는 경우, 파일의 특성을 검사하기 위해 샌드박스로 라우트됩니다.

멀티 엔진 SonicWall ATP(Advanced Threat Protection) 샌드박스 환경은 하나의 엔진을 회피할 수 있지만 다른 엔진들은 회피할 수 없는 포착하기 어려운 맬웨어를 식별하고 중지하도록 설계되었습니다.

엔드포인트가 이 전형적인 설정에 해당되지 않는 경우(예: 공항이나 호텔에서 로밍 중), 동작 탐지 기능이 포함된 엔드포인트 보안 제품을 배포해야 합니다.

크립토마이너는 브라우저에서 작동하거나 파일리스 공격(Fileless Attack)을 통해 전달될 수 있으므로 컴퓨터에서 무료로 제공되는 레거시 솔루션으로는 이를 전혀 감지할 수 없습니다.

SonicWall Capture Client와 같은 동작 기반 바이러스 백신은 시스템이 코인을 채굴하려고 하는지 감지한 다음 작업을 중단시킵니다. 관리자는 맬웨어를 쉽게 격리 및 삭제할 수 있으며, 시스템 파일을 손상시키는 무언가가 있는 경우 맬웨어가 실행되기 전의 마지막으로 양호한 상태로 시스템을 롤백할 수 있습니다.

경계 방어와 동작 분석을 함께 사용함으로써, 조직은 트렌드 또는 의도가 무엇이든 상관없이 최신 형태의 맬웨어를 퇴치할 수 있습니다.

2019년도 SonicWall 사이버 위협 보고서: 기업, 정부, 중소기업을 목표로 한 위협 분석

연례 SonicWall 사이버 위협 보고서가 발표되면 위협을 알리는 일이 얼마나 중요한지 느끼게 됩니다.

저희 엔지니어와 위협 방지 연구원들은 온라인에서 일반인, 기업, 기관들이 겪는 사이버 범죄의 피해를 알리기 위해 수 개월 동안 노력했으며,

그 결과는 놀라웠습니다. 전반적으로 사이버 범죄는 점차 증가하고 있고 범죄자들은 가차 없이 소중한 것을 빼앗아가고 있습니다. 해커와 범죄 집단들은 범죄 규모와 기술 면에서 나날이 발전된 형태로 공격을 하고 있는 것입니다. 2019년도 SonicWall 사이버 위협 보고서에는 사이버 범죄의 방식과 규모에 대해 요약되어 있습니다.

급격하게 진화하는 사이버 범죄에 대해 알아보려면 2019년도 SonicWall 사이버 위협 보고서를 다운로드하십시오(무료). 사이버 위협을 통합, 분석, 가시화한다면 개인과 기관이 어느 때보다도 확실한 권한, 결정권, 정확성을 갖추고 위협에 대항할 수 있게 될 것입니다. 그럼 보고서에 어떤 내용이 포함되어 있는지 알아보겠습니다.

여전히 증가하는 맬웨어 규모

2016년에는 업계에서의 맬웨어 발생율이 감소했었습니다. 하지만 그 후, 맬웨어 공격은 33.4%나 증가했습니다. SonicWall은 2018년에 전 세계적으로 105억 2천만 건의 맬웨어 공격이 있었다고 기록했는데 이는 역사상 최고 기록이었습니다.

영국, 인도에서 랜섬웨어에 대한 대책 강화

SonicWall Capture Lab의 위협 방지 연구원들은 랜섬웨어가 영국과 인도를 제외한 전 세계 모든 지역에서 발생했음을 확인했습니다. 이 보고서에는 랜섬웨어 발생률의 변화와 이러한 변화로 가장 큰 피해를 입은 지역과 도시가 요약되어 있습니다.

위험한 메모리 위협, 사이드 채널 공격을 조기 감지

이 보고서에서는 SonicWall Real-Time Deep Memory InspectionTM(RTDMI)이 특허 출원 중인 기술을 사용하여 위험한 사이드 채널 공격을 완화하는 방법을 알아봅니다. 사이드 채널이란 프로세서 취약성으로부터 데이터를 빼돌리는 데 사용하는 포쉐도우(Foreshadow), 포트스매시(PortSmash), 멜트다운(Meltdown), 스펙터(Spectre), 스포일러(Spoiler)와 같은 핵심적인 도구입니다.

기존의 보안 컨트롤을 무력화하는 악성 PDF 및 Office 파일

사이버 범죄자들은 PDF 및 Office 문서를 사용하여 맬웨어가 전통적인 방화벽은 물론 현대식 네트워크 방어망까지도 우회할 수 있게 하고 있습니다. SonicWall은 이러한 변화가 전통적인 맬웨어 전송에 어떤 영향을 주는지 설명합니다.

비표준 포트에 대한 공격

포트 80 및 443은 웹 트래픽을 위한 표준 포트이므로 수 많은 방화벽이 이러한 포트에 집중합니다. 그 결과, 사이버 범죄자들은 일련의 비표준 포트를 집중 공략하여 악성 기능이 원하는 환경에서 몰래 실행될 수 있도록 합니다. 문제는, 기업들이 이러한 매개체를 차단하지 못하므로 공격을 감지하지 못한다는 것입니다.

IoT 공격 증가

적절한 보안 컨트롤 없이 사물 인터넷(IOT) 기기가 시장에 쇄도하게 되었습니다. 사실 SonicWall은 사물 인터넷(IOT) 공격 횟수가 전년 대비 217.5% 증가한 것을 확인했습니다.

꾸준히 증가하는 암호화된 공격

암호화된 트래픽이 성장하면서 TLS/SSL 암호화로 위장한 공격이 더 많아지고 있습니다. 2018년에 280만 건의 공격이 암호화되었는데, 2017년과 비교할 때 27% 증가한 수치입니다.

크립토재킹의 흥망

2018년에 크립토재킹은 출현했던 속도 만큼 빠르게 거의 사라졌습니다. SonicWall은 4월에서 12월 사이에 전 세계적으로 수 천만 건의 크립토재킹 공격이 있었음을 확인했습니다. 이 수치는 9월에 최고 수준이었지만 그 후 지속적으로 감소했습니다. 크립토재킹의 전성기는 지나갔을까요, 아직 오지 않았을까요?

글로벌 피싱 감소, 공격은 더욱 집중화

기업들의 이메일 공격 차단 기술이 발전하고 직원들이 수상한 이메일을 발견하여 삭제할 수 있게 되면서 공격자들은 전략을 바꾸고 있습니다. 전반적인 공격 횟수는 줄어들고 있지만 더 집중적으로 피싱을 하고 있습니다. 2018년에 SonicWall은 전 세계 2600만 건의 피싱 공격을 확인했는데 이것은 2017년보다 4.1% 감소한 것입니다.

Slide Anything shortcode error: A valid ID has not been provided

지능형 엔드포인트 탐지 및 대응(EDR) Capture Client 2.0 출시

엔드포인트 보호는 단순한 안티바이러스(AV) 모니터링을 훨씬 능가하여 발전했습니다. 오늘날의 엔드포인트는 엔드포인트에서 탐지되는 의심스러운 파일이나 행동에 대해 지속적이고 적극적인 조사와 피해에 대한 경감 효과가 요구됩니다.

SonicWall Capture Client 2.0이 출시됨으로써 기업들은 지능형 엔드포인트 탐지 및 대응(EDR) 기능을 이용하여 엔드포인트 상태를 능동적으로 관리할 수 있습니다.

EDR 기능을 갖추고 있는 SonicWall Capture Client를 통해 관리자들은 위협의 근원과 목적지를 추적하여 필요에 따라 제거하거나 격리할 수 있고, 감염되었거나 손상된 경우에는 마지막으로 확인된 정상 상태로 엔드포인트를 “복구”할 수 있습니다.

현재 Capture Client를 이용하여 기업들은 포렌식 분석을 하거나, 기기를 리이미징하기 위해, 수동으로 오프라인으로 전환하지 않고도 맬웨어를 완화시키고 엔드포인트를 제거할 수도 있습니다.

웹 위협 방지 기능으로 직원의 작은 사고로부터 엔드포인트 보호

지난 몇 년 동안, SonicWall의 콘텐츠 필터링 옵션은  학교, 중소기업, 대기업에서 사용자들이 악성 웹 콘텐츠(가령, 피싱 사이트)나 생산성을 떨어뜨리는 사이트(가령, 소셜 미디어)에 접속하지 못하도록 사이트를 차단하거나 어플리케이션이 수신하는 대역폭을 관리하는 데 이용되었습니다.

웹 위협 방지라는 이러한 기술이 현재 Capture Client 2.0에 담겨 있습니다. 이 기능은 콘텐츠 필터링을 이용하여 알려진 수 백만 개의 악성 URL과 도메인, IP 주소의 접근을 차단합니다. 이렇게 함으로써 피싱 이메일 공격, 악성 다운로드 자료(가령, 랜섬웨어) 또는 기타 온라인 위협을 예방할 수 있습니다.

웹 위협 방지 기능은 관리자에게 또 하나의 보안막을 제공하여 감염 치료나 PC를 알려진 최종 정상 상태로 “복구”해야 할 경우를 줄여줍니다.

엔드포인트 기기 제어로 공격 영역 축소

최근 구글 소셜 실험에서 “분실된” USB 키의 45퍼센트가 발견한 사람에 의해 다시 기기나 온라인으로 연결했다는 사실을 알고 계셨습니까?

작업 공간(가령, 커피숍, 회사 주차장, 로비)에서 감염된 USB 키를 방치하는 것은 회사들을 공격하는 매우 효과적인 방법으로 항상 이용되어 왔습니다. 사실, 많은 소매 판매점에는 USB 포트가 노출되어 있는 판매 지점(POS) 단말기가 있어서 많은 장소에서 네트워크 감염이 더 쉽게 이루어집니다.

USB와 같은 감염된 기기가 엔드포인트에 연결되는 것을 방지하기 위해서 Capture Client 기기 통제 기능은 알지 못하거나 의심스러운 기기가 연결되지 못하게 막을 수 있습니다. 관리자들은 알 수 없는 기기가 승인이 될 때까지 엔드포인트 액세스를 차단하거나 프린터와 이동식 저장 장치와 같이 안전한 기기의 화이트리스트를 작성하여 위협 요소의 범위를 줄일 수 있습니다.

파트너와 고객에 더 나은 엔드포인트 보호 라이선스 제공

SonicWall은 클라이언트의 안정성과 기능성을 높이는 것 이상의 일을 해왔습니다. 또한 지난 한 해 동안 더 나은 업무 방식을 만들어 내기 위해서 전 세계 파트너 및 고객들과 협력했습니다.

수요가 증가함에 따라, 당사의 경쟁력 있는 컨버전 SKU를 인증받은 SonicWall 파트너들이 무기한 프로그램으로 사용할 수 있게 되었음을 발표하게 되어 기쁩니다. 이를 통해서 고객들은 경쟁 제품에서 전환할 경우 2년의 가격으로 3년간 보장을 받을 수 있습니다.

SonicWall은 2019년에 출시되는 밴드형 SKU를 위하여 고객들이 이전에 주문했고 아직 지원되고 있는 팩 SKU를 중단하고 있습니다. 이렇게 밴드로 주문하면 파트너가 주문량에 따라 적절한 할인을 받아 정확하게 필요한 수의 라이센스를 주문할 수 있습니다. 밴드는 5개 시트부터 시작하며 최대 10,000개 이상의 시트까지 8개 세트의 볼륨 할인이 제공됩니다.

기술 개요: 랜섬웨어의 영향 복구

Capture Client Advanced로 백업에서 수동으로 복구하거나 새로운 시스템 이미지를 만들 필요없이 빠른 자동 복구를 할 수 있습니다. 기술 개요 전문을 다운로드하여 Capture Client 복구가 어떻게 사업의 지속성을 최적화하고 재정적 영향을 줄이며 수리에 드는 평균 시간을 단축하고 있는지 확인해 보시기 바랍니다.