클립마이너라는 암호화폐 멀웨어가 나왔다. 피해자의 지갑 주소를 공격자의 지갑 주소로 바꿔치기 하는 수법으로 수익을 거두고 있으며, 일종의 봇넷으로도 활용이 가능한 형태로 개발되었다고 한다. 암호화폐에 집중하던 공격자들이 공격의 가짓수를 늘려가는 모습이다.

[보안뉴스 문가용 기자] 클립마이너(Clipminer)라고 하는 멀웨어의 운영자들이 암호화폐 채굴을 통해 170만 달러를 벌었다는 조사 결과가 발표됐다. 게다가 이들의 수익은 지금도 계속해서 증가하는 중이라고 한다. 앞으로 얼마나 더 부당한 수익이 공격자들의 손에 넘어갈지 예측조차 할 수 없다.

[보안뉴스 / 6.3.] 봇넷으로도 변할 수 있는 암호화폐 멀웨어 클립마이너, 조용히 수익 높여

[이미지 = utoimage]

클립마이너는 일종의 트로이목마다. 암호화폐 채굴 멀웨어인 크립토시뷸(KryptoCibule)과 상당히 유사하며, 보안 업체 시만텍(Symantec)이 처음 발견했다. 하지만 클립마이너는 채굴을 위한 멀웨어가 아니라 암호화폐 거래에 개입하여 피해자를 속이는 방식으로 돈을 빼앗아 간다.

시만텍에 의하면 클립마이너는 해적판 소프트웨어를 통해 퍼진다고 한다. 피해자는 보통 WinRAR 아카이브 형태의 파일을 다운로드 받게 된다고 하며, 다운로드가 끝나면 자동 압축 해제가 진행된다고 한다. 해제 작업이 끝난 후에는 다운로더 파일이 실행되며, 이 파일은 토르 네트워크를 통해 클립마이너의 각종 요소들을 다운로드 받는다.

이런 과정을 거쳐 피해자의 시스템에 올라탄 클립마이너는 클립보드에 저장된 암호화폐 지갑 주소를 다른 주소로 바꿔치기 한다. 당연히 클립마이너를 운영하는 자들의 주소다. 다만 클립마이너가 바꿔치기 하는 주소는 피해자의 주소와 같은 접두사를 가지고 있다. 그래서 피해자들이 좀 더 속기가 쉽다.

때문에 클립마이너에 저장된 암호화폐 지갑 주소는 굉장히 많을 수밖에 없다. 시만텍이 조사했을 때 4375개였다고 한다. 이는 클립보드의 지갑 주소를 교체하는 방식을 가진 기존 암호화폐 멀웨어와 차별이 생기는 지점이다. 클립마이너의 또 다른 특징이라면 암호화폐 믹싱 서비스인 텀블러를 활용한다는 것이다. 이 때문에 공격자의 지갑 안으로 들어간 자금의 출처를 추적하는 게 어려워진다.

시만텍의 위협첩보팀 수장인 딕 오브라이언(Dick O’Brien)은 “제일 처음 클립마이너를 찾아내고 분석했을 때 가장 먼저 들었던 의문은 ‘운영자들이 실제로 돈을 벌기는 할까?’였다”고 설명한다. 하지만 조사를 좀 더 진행하니 ‘그렇다’는 답이 나왔다. “심지어 무척 많은 돈을 벌고 있었죠. 공격자들은 돈이 된다 싶으면 절대로 공격을 포기하지 않습니다. 오히려 확장시키려 하죠.”

조사를 진행하면 할수록 클립마이너의 은밀함에 놀랐다고 오브라이언은 설명한다. “다른 암호화폐 관련 멀웨어들에 비해 꽤나 고차원적이라고 볼 수 있습니다. 특히 우리가 흔히 발견하는 채굴 멀웨어와는 많이 달라요. 클립보드 데이터를 가로챌 수도 있고, 암호화폐를 훔칠 수도 있는데, 이런 모든 것들이 매우 은밀하게 진행됩니다. 수천 개의 주소를 보유하고 있다는 것도 그러한 은밀함에 일조하고 있고요.”

오브라이언은 “클립마이너가 일종의 봇넷이 될 수도 있다”는 점도 지적한다. “봇넷으로도 활용이 가능한 멀웨어입니다. 우리는 그 동안 봇넷들이 죄다 다른 목적의 멀웨어로 변하는 걸 보아왔죠. 클립마이너도 지금은 클립보드에서 지갑 주소 정보만 빼돌리는데, 나중에는 다른 악성 행위를 할 수도 있습니다. 그러므로 기업들은 클립마이너도 유의해야 할 겁니다. 특히 비정상적인 경로로 소프트웨어를 다운로드 하는 행위를 제일 주의해야 합니다.”

오브라이언은 계속해서 “암호화폐 관련 멀웨어들이 끊임없이 진화하고 있다는 것 자체도 눈여겨봐야 한다”고 경고한다. “채굴하면서 피해자의 자원을 갉아먹다가, 클립보드의 정보를 조작해 사기를 치는 멀웨어가 나왔죠. 그러다가 지금은 봇넷으로도 활용이 가능한 스텔스 멀웨어가 됐고요. 앞으로 또 뭐가 나올지 모르겠습니다.”

암호화폐를 노리는 공격자들이 암호화폐 멀웨어를 이렇게 다채롭게 변화시켜 가는 것은, 암호화폐 시장의 불안정성 때문일 거라고 오브라이언은 분석한다. “암호화폐의 불안한 가치에 대해서는 아직도 논란이 많고, 일각에서는 한 번 커다랗게 붕괴할 거라는 예측도 나오고 있죠. 그렇다면 암호화폐 외의 수익거리도 생각할 수밖에 없는 게 범인들의 마음일 겁니다. 때문에 이런 다목적성 멀웨어가 개발되는 것이라고 봅니다.”

3줄 요약
1. 새롭게 등장한 암호화폐 사기 멀웨어, 클립마이너.
2. 해적판 소프트웨어 다운로드를 통해 유포되고 있음.
3. 암호화폐 채굴 -> 주소 조작 -> 이제는 봇넷 기능까지 탑재.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>