보안정보

차세대 통합보안관리 기업
이글루시큐리티 보안정보입니다.

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다.

블로그 상세
가상화폐를 노리는 공격자의 딜레마, 채굴인가? 악성코드인가? 2018.03.06 2 6737

 

서비스사업본부 보안분석팀 김미희

 

 

1. 개요

 

2009년 1월 3일은 사토시 나카모토(Satoshi Nakamoto)가 ‘bitcoin: A Peer-to-Peer Electronic Cash System’논문을 통해서 발표한 비트코인(Bitcoin)이 첫 번째 채굴로 50BTC가 생성된 날이다. 10월 5일에는 'New Liberty Standard‘ 닉네임을 사용하는 마이너(Miner)를 통해서 1$=1309.03BTC로 비트코인의 거래 환율이 최초로 공시되었다.

 

그로부터 8년이 지난 2017년 12월 17일, 비트코인의 가치는 역대 최고치인 $19,086.64(약 2,081만원)을 기록하면서 비트코인이라는 이름이 세상에 공개된 지 10년 만에 엄청난 가치상승으로 가상화폐의 잠재력을 보여주었다.

 

거래의 익명성이 보장되고 급격상 가치상승으로 시세차익을 얻을 수 있어서 공격자들에게는 범죄자금 은닉용으로 각광받으면서 가상화폐를 노린 공격이 급격하게 증가되었다. 가상화폐는 종류에 따라서 약간의 차이가 있지만 가상화폐 중 가장 큰 규모의 시장을 형성하고 있는 비트코인을 예로 들면 크게 두 가지 방식으로 소유할 수 있다. △ 복잡한 암호연산을 해독하는 과정인 채굴(Mining)을 통해 직접 비트코인을 생산하거나, △ 개인 또는 가상화폐거래소를 통해 채굴된 비트코인을 거래하는 방식이다.

 

2017년 5월에 발생한 워너크라이(WannaCry 또는 WannaCrypt)사태나 대규모 가상화폐거래소 해킹사고로 인한 금전적 피해 등 공격자들의 직•간접적인 공격은 가상화폐에 대한 사회적 관심을 불러일으켰고, 높아진 사회 관심은 시세차익으로 인한 투기대상으로 주목 받으면서 또 다른 사회적 이슈로 번지게 되었다. 

 

가상화폐를 둘러싸고 공격자와 개인 투자자 간에 서로 다른 목적으로 가상화폐를 접근하고 있으나 본질적으로는 가상화폐를 이용하여 금전적 이득을 목표로 하고 있다는 점에서 공통점을 가지고 있다.

 

이에 따라 이번 호에서는 사회적 이슈로 급부상한 가상화폐의 시세변화에 따른 사회적 관심과 공격자의 공격성향에 대한 상호 연관성에 대해서 알아보고자 한다.

 

 

2. 사회적 이슈에 따른 가상화폐 시세의 변화

 

가상화폐의 시세와 사회적 이슈의 상호 연관성에 대해서 확인하기 위해서는 몇 가지 수치를 통해서 유추해 볼 수 있다. 첫 번째 수치는 검색엔진을 통한 검색어 조회 현황이다. 일반적으로 사회적 이슈가 발생하면 블로그, SNS, 검색엔진 등을 통해서 관련 내용이 생산되고 공유 및 유포되기 때문이다. 따라서 검색어 조회 현황을 통해서 사회적 이슈에 따른 가상화폐의 시세 변동에 대해 연결점을 찾을 수 있기 때문이다.

 

먼저 가상화폐 중 시장규모가 가장 큰 비트코인의 시세변화에 대해서 확인해보고자 한다. 비트코인은 매년 꾸준한 증가세에 있으며 특히 2017년에는 사상 최고치를 갱신하면서 비트코인 가치의 고공행진을 이어갔다.

 

 

 

[그림 1] 2017년 기준 비트코인 시세 변동 추이 (출처 : Buy Bitcoin Worldwide)

 

 

가상화폐의 시세에 사회적 이슈가 영향을 미치는 것은 당연한 일일 것이다. 이러한 변화는 검색엔진으로 수집된 데이터를 계량화해서 보여주는 “Google Trends”와 “NAVER DataLab”을 통해서 수치화 할 수 있다.

 

먼저 “Google Trends”를 이용하여 가상화폐 관련 검색어에 대한 결과를 조회해 보았다. 검색어는 2017년 인기 검색어 “Global News”분야에서 2위에 랭크된 Bitcoin을 포함하여 가상화폐와 관련이 있는 검색어 5개(bitcoin, bitcoin mining, cryptocurrency exchange, blockchain, ransomware)를 임의 선정하여 검색하였다. 검색결과를 확인하면 [그림 5-1]의 가상화폐 시세변화에 따라 비트코인에 대한 관심도가 높아지는 것을 확인할 수 있다.

 

 

 

[그림 2] 2017년 Google Trends를 통한 시간 흐름에 따른 관심도 변화 (전세계 기준)

 

 

이러한 사회적 관심은 비단 “Google Trends”에서만 확인할 수 있는 것은 아니다. “NAVER DataLab”의 검색결과를 보면 가상화폐에 대한 사회적 이슈가 가상화폐 시세에 어떠한 영향을 미치고 있는지 보다 정확하게 알 수 있다. 

 

“NAVER DataLab”의 수치가 보다 정확하다고 표현하는 것은 국내 가상화폐시장이 전세계 가상화폐 시장에 미치는 영향도가 크기 때문이다. 이와 같은 근거는 국내 가상화폐시장의 규모에서 찾을 수 있다. 세계 가상화폐 정보 업체인 코인힐스(Coinhills)에 따르면 거래량 기준으로 전 세계 가상화폐거래소의 순위를 집계한 결과 상위 10위권 내에 국내 가상화폐거래소가 다수 포진되어 가상화폐의 선두를 이끌고 있기 때문이다. 

 

[그림 3]을 통해서 국내 가상화폐의 법적•제도적 조치가 가상화폐 시장에 어떠한 영향을 주고 있는지 알 수있다. 비이성적으로 과열되고 있는 가상화폐 투기로 인하여 가상통화 거래(가상계좌)에 대한 실명제 도입이나 가상통화 관련 범죄 집중단속 및 처벌, 가상통화 온라인 광고 규제강화, 가상통화 거래소 폐쇄 등의 조치가 발표되면서 검색어 조회결과를 통해서 높은 관심도를 확인할 수 있다.

 

 

 

[그림 3] 2017년 NAVER DataLab의 검색어 트렌드 분석결과

 

 

3. 가상화폐를 노리는 공격자의 딜레마

 

앞서 사회적 이슈에 따른 가상화폐의 시세변화에 대해서 살펴보았다. 본격적으로 이번 장에서는 가상화폐의 시세변동에 공격자들의 공격방식에 어떤 영향을 주는지에 대해서 알아보고자 한다. 공격자가 직접획득(채굴이나 개인거래)를 하지 않고 가상화폐를 획득할 수 있는 방법은 [표 1]과 같이 분류해 볼 수 있다.

 

 

공격대상

공격방식

피해사례

가상화폐

개인거래자

개인정보 탈취

(전자지갑 또는 가상화폐거래소 접속정보 탈취)

- 20176, 가상화폐거래소 빗썸홈페이지 접속계정 해킹

- 201710, 보이스피싱으로 가상화폐거래소 야피존 인증정보 탈취

비트코인

채굴형 악성코드

- 201712, DBD(Drive By Download)방식으로 채굴형 악성코드 유포

피싱(Phishing),

파밍(Pharming)

- 201712, 가상화폐거래소 코빗으로 위장한 피싱 사이트 발견

크립토재킹

(Cryptojacking)

- 20177, 토렌트 사이트에 성인 유틸리티로 위장한 비트코인 마이너 유포정확 포착

가상화폐

거래소

가상화폐거래소

해킹

- 20174, 가상화폐거래소 야피존내부서버 해킹으로 코인지갑’ 4개가 탈취되어 3,815BTC(55) 손실

내부직원 공격

- 2017 7, 가상화폐거래소 빗썸직원의 개인PC해킹으로 회원 개인정보 유출로 2차 피해 발생

 

[표 1] 공격 대상별 가상화폐(비트코인)탈취를 위한 공격방식

 

 

공격자의 공격대상을 가상화폐 개인거래자와 가상화폐거래소로 나누어 생각해 보고자 한다. 먼저 개인 거래자의 경우 가상화폐 정보공유 사이트나 보안이 취약한 웹 사이트에서 유포중인 채굴형 악성코드에 감염되어 개인PC의 CPU를 소모하거나 가상화폐거래소 접속정보(아아디, 패스워드, OTP 등)이 탈취되는 피해가 발생되고 있다.

 

최근 국가정보원에 발언을 통해서 가상화폐거래소의 공격방식을 유추해 볼 수 있다. 가상화폐거래소의 규모확장으로 인해 대규모로 직원의 상시채용이 일어난다는 점을 이용하여 입사지원서로 위장한 해킹메일 발송이나 내부직원PC를 해킹하여 개인정보를 유출하는 등의 공격이 발생되고 있다고 한다.

 

 

그렇다면 공격자 입장에서 급격한 시세변동이 발생하는 가상화폐 시장에서 어떤 공격방식이 가장 효율적일 것인가? 이 질문에 답변을 하기 위해서는 가상화폐의 획득방식에 대해서 다시금 고민해볼 필요가 있다. 앞서 가상화폐는 채굴을 하거나 개인 또는 거래소를 통한 거래를 통해서 획득할 수 있다고 설명했다.

 

먼저 채굴을 통해서 가상화폐를 획득하는 경우의 효율성에 대해서 알아보고자 한다.

 

채굴은 화폐를 개발한 프로그래머가 설계한 알고리즘을 연산한 대가로 얻을 수 있는 것으로 복잡한 암호 연산을 반복적으로 수행하기 때문에 고성능 연산장치가 채굴량을 좌우하게 된다. 채굴을 위해서는 가상화폐 채굴기의 성능, 전기요금, 기타 운영비가 소요되고 기반비용을 배제하고 남는 금액이 수익이 되는 구조이기 때문에 전기요금이 성패를 가른다고 볼 수 있다. 물론 24시간 구동 하였을 때 발열로 인한 채굴기의 감가상각도 고려해야 하는 요인이다.

 

에너지 요금비교 서비스 업체인 ‘PowerCompare’에 따르면 2017년 한해 비트코인을 채굴하기 위해 사용된 에너지의 양이 160개국의 연간 사용량을 넘고 수치로 보게 되면 29.05TWh이며 이 수치는 [그림 5-4]와 같이 국가에 따라서 한 국가의 연간 사용량을 초과하는 수치이기 때문에 어마어마한 전기량이 소모되는 것을 알 수 있다.

 

 

 

[그림 4] 비트코인 채굴보다 적은 전기 사용량을 사용하는 국가(해당국가 : 주황색으로 표기)

 

 

국내의 경우 전기사용량에 따라 누진세를 적용하기 때문에 전기요금의 부담에서 벗어나기 어렵다. 대다수 가상화폐 채굴 전문업체가 서버업체나 농업 관련 공장으로 위장하는 이유가 비교적 저렴한 산업용 전기를 이용하기 위해서다.

 

엘리트 픽스쳐스(Elite Fixtures)가 발표한 세계 115개국 비트코인 채굴 비용분석 보고서를 통해서 국내에서 비트코인 채굴 비용은 2만 6,170달러로, 531달러로 1위에 오른 베네수엘라에 비해 채굴비용이 49배나 비싸다는 것을 알 수 있다. 하지만 가상화폐의 시세가 급등하는 경우라면 가상화폐를 채굴하는 것이 훨씬 효율적일 것이다.

 

예를 들어 1BTC의 가상화폐를 채굴하는데 100만원이라는 금액이 소요되는데 1BTC의 가치가 200만원이라면 채굴수익은 100만원이 된다. 하지만 동일조건에서 1BTC의 가치가 500만원이 된다면 채굴수익은 400만원이 되기 때문에 가상화폐가 상승하는 과정에서는 채굴을 하는 것이 훨씬 효율적이게 된다. 때문에 가상화폐 가치가 상승세인 경우에는 채굴형 악성코드가 급증하게 되는 것이다.

 

 

 

[그림 5] 가상화폐 시세 변화 별 채굴형 악성코드 변화추이

 

 

* Bitcoin Malware : SAINT Security의 ‘Malwares.com’을 통해서 수집된 비트코인 관련 악성코드 수집 추이

* Bitcoin Capitalization : BLOCKCHAIN에서 제공하는 비트코인 시세 변화 추이

* NAVER DataLab : 2017년 기준 ‘비트코인 채굴’ 검색어 월별 변화 추이(검색어 최고치를 100으로 산정시 10월 3일이 최고수치)

 

 

가상화폐 관련 악성코드는 △ 사용자 PC에 채굴 프로그램을 설치해서 자원을 임의 사용하는 ‘채굴형 악성코드’와 △ 가사화폐 거래소 접속계정을 훔치는 ‘계정탈취형 악성코드’로 분류할 수 있다. [그림 5-5]의 그래프를 통해서 가상화폐의 시세가 증가함에 따라 가상화폐 관련 악성코드가 증가하는 것을 볼 수 있다. 2017년 8월 비트코인캐시의 하드포트와 10월 비트코인골드의 하드포트가 진행되면서 가상화폐의 관심이 고조되어 가격이 상승세를 타면서 가상화폐 악성코드가 활기를 치는 것을 확인할 수가 있다.

 

그렇다면 개인 또는 거래소를 해킹하였을 경우의 효율성에 대해서 알아보고자 한다.

 

개인을 해킹하는 경우는 앞선 ‘채굴형 악성코드’나 ‘계정탈취형 악성코드’를 통해서 개인PC의 자원이 소모되거나 개인의 가상화폐거래소 접속정보 유출로 직접적인 금전적 피해가 발생하게 된다. 그렇다면 가상화폐거래소는 어떤 방식으로 피해를 입는 것일까? 이 질문에 대한 대답은 최근 과학기술정보통신부와 한국인터넷진흥원의 가상화폐거래소 보안점검 결과를 통해서 유추해 볼 수 있다. 

 

 

공격대상

A

B

C

D

E

F

G

H

I

J

망분리 및 시스템 접근통제

미존재 및 관리 미흡

 

 

 

가상통화 지갑관리 미흡

(보안정책 운영 등)

 

 

 

 

 

 

 

정보보호시스템(방화벽 등) 구축 및 보안관리 미흡

 

 

 

 

외부 개인PC에서 인터넷망을

통해 내부시스템 접근 가능 등

보안사고 우려

 

 

 

 

 

 

 

 

 

침해사고 대응 절차, 지침 등 미흡

 

 

 

 

주요 데이터 백업관리 체계 미흡

 

 

 

 

 

 

 

 

계정관리정책 수립 미흡

 

 

 

 

 

 

 

 

 

관리자 PC보안관리 미흡

(보안업데이트 및 패치관리)

 

 

 

 

 

 

 

[표 2] 가상화폐거래소 보안점검 결과 (출처:과학기술정보통신부, 한국인터넷진흥원)

 

 

[표 2] 와 같이 가상화폐거래소의 해킹사고로 인해 사용자들의 금전적 피해가 급증함에 따라 진행된 보안점검을 통해서 상당수의 가상화폐 거래소에서는 망분리 및 시스템 접근통제 미존재 또는 관리 미흡, 가상통화 지갑관리 미흡, 정보보호시스템 구축 및 보안관리 미흡, 침해사고 대응 절차 및 지침 미흡, 관리자PC 보안관리 미흡 등 다수의 보안정책 결격사유들이 확인되었다. 

 

결국 이러한 보안정책 소홀은 가상화폐거래소 사용자 접속정보 탈취, 지갑탈취, 2차 피해 등으로 이어졌고 이러한 피해는 어느 누구도 책임지지 않은 채 고스란히 가상화폐거래소를  이용하는 사용자들에게 전가되었다. 

 

가상화폐거래소는 단순히 거래소해킹만이 문제가 되는 것은 아니다. 금융감독원의 ‘17년 중 보이스피싱 및 대포통장 현황 분석’에 따르면 2017년 보이스피싱 피해액은 2,423억 원으로 전년 대비 26.0%(499억원) 증가하였다. 이 같은 증가 수치는 가상통화를 피해금 인출수단으로 악용하는 등 신종 수법이 등장하여 대출빙자형 피해가 크게 증가(34.4% 증가, 461억원)한데 기인한 것으로 2017년 하반기에만 148억 원이 가상통화로 악용된 것으로 확인되었다. 

 

이 같은 수치는 가상화폐거래소의 계정탈취를 통한 지갑탈취로 인한 금전적 피해 뿐만 아니라 기존에 행해졌던 보이스피싱 및 대포통장을 통한 범죄자금 거래가 가상화폐거래소를 통해서 세탁의 창구로도 사용될 수 있다는 점이다.

 

 

4. 마무리

 

지금까지 가상화폐 시세에 따른 공격자들의 공격방식에 대해서 알아보았다. 가상화폐는 비트코인을 선두로 다양한 기술과 접목하면 화폐로서의 가치에 대해서 시세를 통해 가치를 증명해 보이고 있다. 하지만 가상화폐의 가치가 상승하면서 범죄자금의 은닉과 세탁의 장소로 변질되고 이로 인한 악성코드 창궐 등 가상화폐의 본래의 목적을 훼손할 만한 행위들이 급증하게 되었다.

 

분석자료들을 통해서 가상화폐의 가치가 급증하면 가상화폐의 직접 채굴이 유리하기 때문에 가상화폐 탈취형 악성코드가 급증하였다. 반면 가상화폐의 가치가 급락하는 경우에는 직접채굴보다는 타인을 통한 가상화폐 탈취가 유리하기 때문에 랜섬웨어나 가상화폐 거래소 계정 탈취형 악성코드와 같은 공격이 급증하게 되었다.  

 

가상화폐의 상승세가 당분간 지속될 것으로 보이며 공격자들의 공격도 꾸준히 증가할 것으로 보인다. 개인 사용자들의 보안수준 준수도 당연히 필요하지만 가상화폐거래소를 이용하는 사용자들의 피해를 예방할 수 있도록 가상화폐거래소의 보안이 강화된다면 이와 같은 피해는 감소할 것이라고 생각된다.

 

 

5. 참고자료

 

[1] https://www.buybitcoinworldwide.com/ko/price/

[2] http://www.fss.or.kr/fss/kr/promo/bodobbs_view.jsp?seqno=21101&no=13601&s_title=&s_kind=&page=1

[3] https://trends.google.com/trends/explore?q=bitcoin,bitcoin%20mining,cryptocurrency%20exchange,blockchain,ransomware&date=2017-01-01%202017-12-31#TIMESERIES

[4] https://datalab.naver.com/keyword/trendResult.naver?hashKey=N_c6d3fd1742855ee3f1547d4f38239228

[5] https://trends.google.com/trends/explore?date=2017-01-01%202017-12-31&geo=KR&q=%EB%B9%84%ED%8A%B8%EC%BD%94%EC%9D%B8%20%EC%B1%84%EA%B5%B4#TIMESERIES

[6] https://datalab.naver.com/keyword/trendResult.naver?hashKey=N_690c19b0cf7e4fd57cd54da33b4e2dd7

[7] http://news.inews24.com/php/news_view.php?g_serial=1067263&g_menu=020200

[8] http://m.opm.go.kr/m/news/news01.jsp?mode=view&article_no=97333&board_wrapper=%2Fm%2Fnews%2Fnews01.jsp&pager.offset=0&board_no=6

[9] https://blockchain.info/ko/charts/market-cap

[10] http://uk.businessinsider.com/bitcoin-mining-electricity-usage-2017-11

 

 


 

이전글, 다음글 목록
다음글 윈도우 레지스트리 분석을 이용한 침해사고 분석 기법
이전글 안드로이드 Content Provider 취약성

원하시는 계정으로 로그인 후 댓글을 남겨 주세요.

사용자 이미지
0/ 250 byte