운행 중인 차량이나 항공기, 기차 등 운송 수단을 납치하는 행위를 일컫는 '하이재킹'은 액션 영화의 단골 소재지만, 그 수법이나 범죄 행위와의 연관성 때문에 보안 업계에서도 자주 차용하는 단어입니다.

사용자와 컴퓨터, 또는 두 컴퓨터 간의 활성화 상태인 세션을 가로채 권한을 탈취하는 '세션 하이재킹', 윈도 계열 운영체제에서 프로그램을 실행할 때 불러오는 동적 연결 라이브러리(DLL)를 다른 목적의 DLL로 바꿔치기하는 'DLL 하이재킹', 정상 도메인 네임 서버(DNS)를 임의로 다른 DNS로 우회시켜 공격자가 원하는 웹 사이트로 연결되도록 만드는 'DNS 하이재킹' 등이 대표적입니다.

대부분의 해킹 기법은 공격자의 목적을 달성하기 위한 수단에 불과합니다. 그 목적이란 공격자의 정치적 성향, 뒤에서 자금을 대는 조직의 의뢰에 따라 천차만별일 것입니다. 하지만, 최근 사이버 공격의 양상을 보면 대부분 목적은 결국 '돈'입니다. 보안 업계는 사이버 범죄자들이 상업화·조직화하면서 하나의 기업처럼 움직이기 시작했다고 분석합니다.

기업이라면 수익을 내는 것이 최우선입니다. 사이버 범죄 조직도 자연스럽게 투자 대비 수익을 고려해 공격 대상을 물색하고, 될 수 있는대로 품이 적게 드는 공격 수단을 찾기 시작했습니다.

가상화폐 채굴 시스템 이미지. / 트렌드마이크로 제공
가상화폐 채굴 시스템 이미지. / 트렌드마이크로 제공
그렇다면 최근 사이버 범죄 조직이 선호하는 공격 대상은 무엇일까요? 인터넷 공간에서 광범위하게 통용되고, 현실 세계에서도 가치를 인정받는, 말 그대로 '돈 되는' 무언가 말입니다. 그렇습니다. 바로 암호화폐(가상화폐)입니다. 2017년 가상화폐 가치가 천문학적으로 상승하자 사이버 범죄 조직은 막대한 수익을 좇아 수단과 방법을 가리지 않고 가상화폐 골드러시에 뛰어들기 시작했습니다.

사이버 범죄 조직이 가상화폐를 노리는 방법은 다양합니다. 가상화폐 거래소를 직접 해킹하거나, 개인 투자자의 가상화폐 지갑을 털기 위해 가짜 지갑 앱 설치를 유도하거나 덫을 놓고 피싱 공격을 펼치기도 합니다. 하지만, 이러한 공격은 견고한 보안망을 뚫을 수 있는 기술력이 필요하고, 수사 기관의 추적 등 위험부담이 큰 편입니다.

결국, 사이버 범죄 조직이 투자 대비 수익을 고려해 대안으로 선택한 공격 기법의 하나가 남의 시스템으로 가상화폐를 채굴하는 것입니다. 가상화폐를 대량으로 채굴하려면 막대한 비용을 들여 대규모 시스템 자원을 확보해야 하는데, 이걸 개인이나 기업의 시스템이 십시일반 수행하도록 하고, 채굴한 가상화폐만 챙기는 식입니다. 보안 업계에서는 이를 두고 가상화폐의 영문 표현(Cryptocurrency)과 하이재킹을 결합한 '크립토재킹'이라고 부릅니다. 채굴은 내 컴퓨터에서 했는데, 그 결과물인 가상화폐는 중간에서 사이버 범죄 조직에 납치당하는 것이나 다름없어 붙여진 이름으로 풀이됩니다.

글로벌 보안 업체 시만텍에 따르면, 2017년 한 해에 걸쳐 개인이나 기업 컴퓨터에서 가상화폐 채굴 악성코드를 탐지한 건수는 1월 2만건에 불과했으나, 12월에는 170만건으로 크게 뛰었습니다. 한 해 동안 무려 8500%나 증가한 것입니다. 사실 일반적인 성능의 컴퓨터로는 온종일 채굴 프로그램을 돌려도 하루 300원 정도의 가상화폐를 캘 수 있다고 알려져 있습니다. 한 달을 돌려도 수익이 9000원이니 전기 요금을 생각하면 채산성이 맞지 않습니다. 하지만 크립토재킹으로 1000대의 컴퓨터를 동원한다면 한 달 수익이 900만원이 됩니다. 국경의 장벽이 없는 인터넷 환경을 고려하면 한 사이버 범죄 조직이 수만대의 컴퓨터를 동원하는 것도 불가능한 얘기는 아닙니다.

무엇보다 크립토재킹은 피해자를 직접 끌어들여 돈을 요구할 필요 없이 은밀하게 컴퓨터 자원만 훔쳐가기 때문에 발각될 우려가 낮습니다. 물론, 컴퓨터가 백그라운드에서 채굴 작업을 하기 시작하면 그만큼 사용자가 원하는 작업을 할 때 컴퓨터가 느려지긴 하지만, 크립토재킹을 직접 알아챌 근거를 찾기는 어렵습니다. 만약 크립토재킹이 발각되더라도 대부분의 경우 악성코드를 제거하거나 컴퓨터를 포맷하는 정도에 그치기 때문에 공격자는 다른 먹잇감을 찾으면 그뿐입니다. 최근 더욱 영악해진 사이버 범죄 조직은 크립토재킹이 발각되지 않도록 악성코드 내에서 시스템 사용 점유율을 적당히 조절하기도 합니다.

나아가 컴퓨터를 악성코드에 감염시킬 필요 없이 사용자가 특정 웹 사이트를 방문하기만 해도 그 사이트에 체류하고 있는 동안 컴퓨터가 가상화폐를 채굴하도록 명령을 내리는 최신 공격 기법도 등장했습니다. 이러한 브라우저 기반 크립토재킹은 2017년 9월 처음 모습을 드러내기 시작해 2017년 말에는 전체 웹 공격의 24%에 달할 정도로 급증했습니다. 브라우저 기반 크립토재킹은 특정 웹 사이트에 가상화폐 채굴 명령을 내리는 스크립트 한 줄만 삽입하면 되기 때문에 공격 자체는 단순한 편입니다. 다만, 기업이나 기관이 운영하는 웹 사이트를 악용하려면 해당 시스템에 침투해야 하는 부담이 있어 정보성 사이트를 가장한 별도의 웹 사이트를 만들어 운영하는 경우도 많습니다.

브라우저 기반 크립토재킹은 사용자가 해당 웹 사이트를 닫으면 채굴이 끝나기 때문에 사용자의 체류 시간을 늘리는 게 관건입니다. 이 때문에 동영상 스트리밍 사이트처럼 사용자가 오래 머무는 사이트를 주로 활용하거나 팝업 창이 메인 화면을 가리지 않도록 나타나자마자 브라우저 뒤에 숨겨지도록 한 팝 언더 윈도우에 숨겨 동작하는 경우가 많습니다. 아예 대놓고 사이트 운영을 위한 최소한의 수익 창출 목적임을 명시하고 브라우저를 닫지 말고 유지해달라고 요청하는 등 비교적 양심적으로 크립토재킹을 활용하는 사례도 있습니다. 방법이야 어떻든 사용자 동의 없이 무단으로 은밀하게 이뤄지는 행위라면 범죄로 봐도 무방하지 않을까요.

다행히도 일부 백신의 경우 채굴 명령을 내리는 스크립트를 악성 스크립트로 판단하고, 동작을 차단한다고 합니다. 적어도 컴퓨터에 백신 하나쯤은 설치해두고, 자동 업데이트 기능을 활용해 항상 최신 상태를 유지하는 것이 필요합니다. 또한, 사이버 범죄 조직이 크립토재킹에 집중하면서 랜섬웨어 등 기존 공격이 완전히 사라진 것은 아니지만, 어느 정도 진정 국면에 접어들었다는 점도 시사하는 바가 큽니다.

사이버 범죄 조직이 크립토재킹을 더 효과적인 수익 모델로 판단한 이유도 있지만, 그만큼 랜섬웨어는 이제 대중적으로 많이 알려져 수익성이 떨어진 것도 영향을 미쳤을 것입니다. 보안에 대한 관심이 높아질수록 대응은 빨라지고, 유행하는 공격 수법의 수명주기는 줄어들기 마련입니다. 사이버 범죄 조직이 가장 좋아하는 단어는 어쩌면 '무관심'일 것입니다.