웹페이지에 접속만 해도 악성코드에 감염돼 암호화폐 채굴에 동원되는 공격 방식이 최근 급증하고 있다. 안랩 제공© News1

암호화폐를 채굴하는 비용이 갈수록 높아지면서 다른 사람의 PC와 스마트폰을 몰래 '채굴'에 동원하기 위한 악성코드가 등장해 상당한 주의가 요구된다. 웹사이트에 접속 중 갑자기 중앙처리장치(CPU) 사용률이 높아져 PC가 버벅거린다면 암호화폐 채굴 악성코드에 감염됐는지를 의심해야 한다.

11일 보안업계에 따르면 최근 PC에 악성 채굴기 실행파일을 몰래 설치하는 악성코드뿐만 아니라, 웹 브라우저를 기반으로 암호화폐를 채굴하는 악성코드까지 등장했다. 이 악성코드는 별도의 설치파일이나 첨부파일을 PC에 내려받아 설치하는 방식이 아니라 악성코드가 숨겨진 웹사이트에 접속만 해도 감염되기 때문에 검증되지 않는 웹사이트 접속은 금물이다.

그동안 암호화폐 관련 웹브라우저 악성코드는 암호화폐 커뮤니티나 게시판 등에 주로 나타났다. 하지만 최근 등장하는 악성코드는 TV 방송프로그램 공짜 청취 등 불법 동영상 사이트 등에서도 폭넓게 확산되고 있는 것으로 나타났다. 

안랩 시큐리티대응센터(ASEC)에 따르면 웹브라우저 기반으로 동작하는 '마이닝 방식'은 기존의 실행 파일 기반과는 다르게 악성 자바스크립트(JavaScript)를 이용해 동작한다.

자바스크립트가 추가로 악성 자바(JAVA) 파일 또는 웹어셈블리(WebAssembly) 파일을 단말기에 내려받도록 명령을 내리면, 이용자가 해당 웹 페이지에 접속하는 순간 별다른 행위를 하지 않아도 악성코드에 자동으로 감염이 되는 방식이다. 

이 악성코드에 감염되면 자신도 모르는 사이에 접속했던 PC나 노트북PC, 스마트폰 등 하드웨어 단말기가 악성코드 유포자의 암호화폐 채굴에 동원된다. 채굴된 암호화폐는 공격자의 지갑 주소로 전송된다.

안랩 ASEC 측은 "파일 기반의 악성코드는 최종 페이로드를 사용자 시스템에 전달하기 위해 파일 다운로드 후 실행하기까지 과정이 필요하지만, 웹 기반의 마이닝 악성코드는 단순히 웹 페이지에 접속만 해도 감염되기 때문에 이용자는 감염 사실도 알지 못하고, 자신의 PC가 암호화폐 채굴에 동원됐는지도 알 수 없게 된다. 공격자 입장에서는 좀 더 손쉬운 채굴 방식인 셈"이라고 설명했다.

마이닝 기능을 위한 파일이 모두 설치되면 웹 브라우저의 CPU 사용량이 급증하며 채굴 기능이 수행된다. 

현재 이같은 악성코드는 개인 사이트나 블로그, 불법 동영상 감상 사이트는 물론 정상 사이트에 포함된 광고 배너에 악성 자바스크립트가 포함되는 현상까지 나타나며 급격히 확산되고 있다. 

안랩 측은 "웹 브라우저에 로드되어 마이닝 기능을 수행되는 방식은 웹브라우저를 종료하면 그 기능이 종료되고 현재까지는 채굴 이외의 기능은 확인되지 않고 있다"면서 "하지만 사용자의 시스템 자원을 무단으로 이용하고 불특정 다수를 대상으로 악성 행위를 하기 때문에 주의를 기울일 필요가 있다"고 경고했다.