중국어 크립토재킹, 서버 5만여개 정밀 타격

가디코어 연구소 보고서 “석 달간 20가지 다른 버전의 멀웨어로 공격”

등록 : 2019년 6월 4일 20:00 | 수정 : 2019년 6월 5일 10:45

Hackers Infect 50,000 Servers With Sophisticated Crypto Mining Malware

 

전 세계의 서버 5만여 개를 공격해 암호화폐를 몰래 채굴해가는 사건이 발생했다.

사이버보안 업체 가디코어 연구소(Guardicore Labs)는 지난달 29일 보고서를 통해,  “난쇼우(Nansh0u) 캠페인이라는 이름의 악성 소프트웨어가 지난 2월부터 빠르게 퍼지고 있다. 이 멀웨어는 하루 평균 700개 이상의 서버를 감염시켰다”고 밝혔다. 주된 공격 대상은 의료 업체와 통신회사, 언론사, IT 기업 등이었다.

가디코어는 “3개월간 무려 20가지 다른 버전의 멀웨어가 동원됐다. 적어도 일주일에 한 번씩 공격 방식이 바뀐 셈”이라고 전했다. 크립토재킹 멀웨어는 새로 생성되는 동시에 공격을 시작했다. 그러면서 악성 소프트웨어가 제거되지 못하게 막는 루트킷(rootkit)도 함께 심었다.

“해당 멀웨어는 공격 서버의 호스팅 제공업체는 물론 루트킷 인증서 발행업체도 공격당한 것으로 나타났다. 결국 공격당한 서버는 작동이 중단되고 인증서의 효력도 중지됐다.”

가디코어는 정부나 국가 기관에서나 사용할 법한 정교한 도구가 이번 공격에 이용된 점을 눈여겨볼 필요가 있다고 언급했다.

“일반인은 쉽게 접근하기 힘든 고급 사양의 디지털 무기를 사이버 범죄자들이 어렵지 않게 손에 넣은 것으로 보인다.”

난쇼우 캠페인에 사용된 도구는 모두 중국어로 쓰여있으며, 중국어로 된 서버에서 발견됐다.

“난쇼우 캠페인은 결코 평범한 암호화폐 채굴 공격이 아니다. 이들은 가짜 인증서를 이용하는 등 이른바 지능형 지속 공격(APTs)을 감행했다. 난쇼우 캠페인은 고위 정부 기관의 전유물로 여겨지던 기법을 이제는 일반 해커들도 쉽게 활용할 수 있게 됐음을 보여준다.”

가디코어는 인증서 요건을 강화하는 것이 기업의 자산을 보호하는 데 핵심이라고 설명했다.

“대부분 공격 목표는 여전히 이른바 흔한 조합으로 된 비밀번호다. 이런 서버는 무차별 공격의 대상이 되고, 이번 난쇼우 캠페인에서도 마찬가지였다. 따라서 기업과 기관들은 네트워크를 분할하고, 복잡하면서도 정교한 인증 절차를 거쳐야만 네트워크에 접속할 수 있도록 만들어 자산을 보호해야 한다.”

번역: 뉴스페퍼민트

각종 제보 및 보도자료는 contact@coindeskkorea.com 으로 보내주세요.

This story originally appeared on CoinDesk, the global leader in blockchain news and publisher of the Bitcoin Price Index. view BPI.