침해사고/위협동향

해커, 기업 서버 털어서 암호화폐 채굴··· log4j 악용한 공격

이종현
[디지털데일리 이종현기자] 기업용 서버가 해킹돼 암호화폐 채굴에 활용된 것으로 확인됐다.

28일 업계에 따르면 암호화폐 ‘랩토리움(Raptoreum)’ 해시레이트(연산량)이 지난 9일 비정상적으로 늘어났는데, 해커에 의한 것이라는 소식이 전해졌다. 해시레이트의 상승은 채굴 참여자의 증가를 의미한다.

랩토리움은 그래픽처리장치(GPU) 성능이 요구되는 비트코인 등과 달리 중앙처리장치(CPU)의 성능이 요구되는 암호화폐다. L3 캐시 용량이 높을수록 높은 채굴 능력을 발휘하는 것으로 알려졌다.

랩토리움측에 따르면 랩토리움의 해시레이트 상승은 정상적인 활동이 아니다. HP의 AMD 기반 9000 에픽(EPYC) 서버에 의한 해시레이트가 급격히 상승했는데, 해커가 제어권을 탈취한 뒤 랩토리움 채굴에 악용했다는 것이 그의 분석이다.

HP 서버 해킹에 사용된 것은 아파치 소프트웨어 재단의 오픈소스 프로그램 ‘로그4j(log4j)의 취약점인 것으로 파악됐다. CVE-2021-44228, 로그4쉘(log4Shell)이라 명명된 취약점은 0~10점으로 취약점의 위험성을 평가하는 CVSS 점수에서 가장 높은 10점을 받은 고위험 취약점이다.

원격코드실행(RCE) 취약점인 로그4쉘은 제3자가 서버의 제어권을 탈취할 수 있다. 해킹 방법이 무척 쉬운 데다 컴퓨터 프로그래밍 언어 자바(Java)로 개발되는 거의 모든 애플리케이션(앱)이 영향을 받을 수 있어 ‘컴퓨터 역사상 최악의 위협’이라고 불리고 있다.

랩토리움 취약점으로 인한 해시레이트 상승은 12월 9일 시작됐다. 로그4쉘이 알려진 것과 같은 날이다. 랩토리움 관계자가 EIN뉴스에 보낸 성명에 따르면 9일부터 17일까지, 기존 평균 해시레이트 200MH/s에서 400MH/s로 9일가량 해시레이트가 2배 치솟았다.

17일부터는 해시레이트가 줄었는데, 해킹된 기업이 취약점을 패치한 것으로 추정된다. 다만 일부는 여전히 채굴이 진행 중인데, 패치에 실패했거나 채굴에 악용되는 것을 눈치채지 못한 듯하다는 것이 랩토리움 관계자의 의견이다. 공격당한 기업이 어디인지는 밝혀지지 않았다.

9일간 해커는 약 11만달러 상당의 랩토리움을 채굴했다. 이중 일부는 코인엑스 거래소를 통해 현금화했고, 일부는 지갑에 보유 중이다.

국내 보안업계 관계자는 “이와 같은 공격은 앞으로 줄을 이을 것”이라고 경고했다. 자신의 정보기술(IT) 환경에 대한 가시성을 갖추지 못한 기업·기관이 많은 만큼 실제 악용되고 있지만 피해 사실을 인지하지 못하고 있는 곳들이 많으리라는 전망이다.

그는 “랩토리움의 경우 전체 해시레이트가 높은 않아 일부의 증가로도 특이점을 잡아낼 수 있었으리라 본다. 하지만 해시레이트가 높은 암호화폐라면 눈치채기 어려울 수 있다. 암호화폐 채굴이 아니라 다른 용도로도 악용될 수도 있다. 이제 시작”이라고 말했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널