gettyimages

암호화폐 보안 연구자들이 새로운 봇넷(botnet)을 발견했다. 흔히 봇넷은 사용자 모르게 악성코드나 악성 소프트웨어에 감염돼 통제를 받는 대량의 봇(bot)을 일컫는 말인데, 이번에 발견된 봇넷은 사용자 네트워크에 해를 끼치지 않고 오히려 암호화폐 불법 채굴 악성코드를 찾아내 파괴한다.

에프봇(Fbot)이라는 이름의 봇넷은 사토리(Satori)라는 봇넷의 일종으로 사토리는 보통 디도스(DDoS, 분산서비스 거부) 공격에 쓰이는 미라이(Mirai)라는 프로그램을 기반으로 설치된 봇넷이다. 정확한 경로는 알 수 없지만, 에프봇에는 원래 용도인 디도스 공격 모듈은 꺼져 있고, 대신 네트워크 안에서 몰래 암호화폐를 채굴해 빼돌리는 크립토재킹 악성 코드를 에프봇이 찾아내 제거하고 교체하도록 프로그램돼 있다.

에프봇의 활동을 발견하고 이번 연구를 진행한 중국의 인터넷 보안업체 치후(奇虎) 360은 에프봇이 안드로이드 기반 모네로 채굴기 ADB.Miner에 잠입하는 크립토재킹 악성 코드 com.ufo.miner를 찾아내 삭제한다고 밝혔다. 치후 360은 에프봇이 해당 악성코드에 감염된 기기를 확인하고 나면 com.ufo.miner 삭제 코드를 실행해 기기에서 악성 코드를 지워낸다고 설명했다. 좀 더 정확히 설명하면 에프봇이 기기와 네트워크를 검색해 악성 코드를 찾아내면 스스로 악성코드를 덮어쓰는 방식으로 설치한 뒤 스스로 파괴하는 방식이다.

봇넷의 코드가 도메인 이름에 등록된 것도 흔치 않은 점이다. 물론 우리가 흔히 쓰는 표준 도메인 이름 시스템(DNS) 대신 탈중앙화 대체 도메인 이름 시스템인 이머(Emer) DNS에 등록돼 있어 코드를 찾아내 제거하기도 쉽지 않다.

에프봇이 전통적인 도메인 이름 시스템 대신 이머 DNS를 채택한 점이 무척 흥미롭다. 보안 전문가들이 에프봇을 찾아내 그 활동을 추적하기 어려웠던 것도 이 때문이었다. 전통적인 도메인 이름 시스템만 채택했더라면 보안이 취약해 아마 제거됐을 수도 있다.

과연 에프봇을 누군가 좋은 의도로 만들어 유포했는지, 아니면 크립토재킹 세력이 경쟁 악성코드를 제거하려고 만든 것인지는 아직 밝혀지지 않았다.

암호화폐 몰래 채굴 악성코드와 그로 인한 피해가 근래 급증했다는 사실은 여러 보안 업체의 연구 결과 밝혀졌다. 악성코드가 개인용 기기는 물론 기업 네트워크나 정부 웹사이트까지 침입했다는 사실이 밝혀지기도 했다. 또 네트워크를 마비시킨 뒤 돈을 받고 이를 풀어주는 랜섬웨어 공격보다 크립토재킹이 해커들이 더 즐겨 찾는 공격 수단이라는 통계가 발표되기도 했다. 실제로 IT 보안업체 트렌드 마이크로가 지난달 펴낸 보고서를 보면, 크립토재킹 공격은 지난 상반기 전년 대비 956%나 급증했다.

크립토재킹의 위험이 점점 커지면서 파이어폭스는 지난달 31일 브라우저 보안 기능에 암호화폐 악성코드를 찾아내 제거하는 기능을 추가한다고 발표하기도 했다. 또한, 암호화폐 지갑을 내장한 모바일 전용 브라우저 오페라는 지난 1월부터 비슷한 보안 기능을 제공해왔다.

번역: 뉴스페퍼민트

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지