마이크로소프트 스토어에 불법 채굴 앱 올라왔다가 삭제돼

보안업체 시만텍 "악성 프로그램 코인하이브 내장한 앱 8개 발견"

등록 : 2019년 2월 16일 16:10

마이크로소프트 스토어(Microsoft Store)에서 불법으로 암호화폐를 채굴하는 악성 프로그램이 발견되었다. 사이버보안 업체 시만텍(Symantec)은 최근 블로그 게시물에서 “지난달 17일 마이크로소프트 스토어의 8개 앱에서 모네로(Monero, XMR) 채굴용 악성 프로그램 코인하이브(Coinhive)를 발견했다”고 전했다. 코인하이브는 모네로를 몰래채굴하는 데 주로 이용되는 자바스크립트 언어다.

시만텍은 발견 직후 이러한 사실을 마이크로소프트에 알렸으며, 이후 이들 앱은 모두 삭제되었다고 전했다. 8개 앱은 모두 윈도우 10S 모드를 포함해 윈도우 10에서 작동되는 것으로 알려져 있다. 윈도우 10S 모드는 마이크로소프트 스토어로의 앱 다운로드를 제한하는 기능이다.

이들 앱은 디지드림(DigiDream), 원클린(1clean), 핀두(Findoo) 등의 업체가 개발한 것으로 컴퓨터와 배터리 최적화 프로그램, 웹 검색 및 브라우징, 동영상 보기 및 다운로드 등의 기능을 포함한 것으로 전해졌다. 그러나 시만텍 측은 이들 앱이 모두 동일 인물이나 단체가 개발한 것으로 추정된다고 밝혔다.

“총 8개의 앱을 발견했는데, 모네로를 불법으로 채굴하는 수법이 모두 같은 것으로 보아 이들 앱은 동일 혹은 단체가 개발한 것으로 추정된다.”

코인하이브를 작동시킨 8개 앱 (이미지=시만텍)

마이크로소프트 스토어에서 앱을 다운로드해 열면, 해당 앱은 도메인 서버에 있는 구글 태그 매니저(Google Tag Manager)를 작동시켜 모네로 채굴용 자바스크립트 라이브러리, 곧 코인하이브를 불러들여 작동을 시작한다. 이후 코인하이브는 사용자 컴퓨터의 CPU 사이클을 활성화해 암호화폐를 채굴한 뒤 빼돌린다. 시만텍은 이러한 내용을 구글 측에도 전달했고, 이후 코인하이브는 구글 태그 매니저에서도 삭제되었다.

이들 앱의 규정과 관련해 시만텍은 “마이크로소프트 스토어에 올라와 있는 규정을 보면 개인정보 보호 규정은 명시하고 있지만, 암호화폐 채굴과 관련해서는 어떠한 내용도 언급하고 있지 않다”고 지적했다. 시만텍은 이어 “8개 앱은 모두 작년 4월부터 12월 사이에 공개되었으나 그 시기는 대부분 연말에 집중돼 있었다”며 “마이크로소프트 스토어에 올라와 있던 기간은 비교적 짧지만, 꽤 많은 사용자가 내려받은 것으로 보인다”고 덧붙였다.

최근 발간된 보고서에 따르면 모네로는 암호화폐 네트워크를 공격하는 범죄자들이 가장 자주 노리는 암호화폐인 것으로 나타났다. 보고서는 현재 시장에서 유통되는 모네로 가운데 최소 4.32%는 해커들이 채굴한 것이라며 “공격 건수로 보면 최소 2,218건의 공격이 있었고, 이를 통해 채굴된 모네로는 약 72만 개, 현재 시세로 630억 원어치”라고 설명했다.

번역: 뉴스페퍼민트