암호화폐 몰래 채굴하는 ‘크립토재킹’ 기승 부린다

내년에는 다른 사람의 PC에 악성코드를 심어 암호화폐를 채굴하도록 만드는 ‘크립토재킹(cryptojacking)’이 스마트폰 등 모바일 기기로 확산될 전망이다. 보안에 신경쓰지 않으면 개인 스마트폰이 암호화폐 채굴 노예로 전락할 수 있다는 경고가 나온다.

한국인터넷진흥원(KISA)이 5일 안랩 등 국내 주요 보안업체 6개사와 함께 발표한 ‘2019년 주목해야 할 7대 사이버 공격 전망’을 보면 내년에는 모바일 기기뿐만 아니라 보안이 취약한 사물인터넷(IoT) 기기들도 크립토재킹의 공격 대상이 된다. 익스플로러, 크롬 등 웹 브라우저에서 동작하는 채굴 악성코드도 꾸준히 유포될 것으로 보인다.

크립토재킹 사례는 지난해 3건만 발견됐지만 올해는 10월까지 1188건이나 탐지됐다. 안랩 안창용 책임은 “인터넷에 항시 연결되어 있고 연산능력이 있는 IoT 기기들은 공격자에게 매력적인 대상”이라며 “IoT 기기를 좀비화한 후 가상화폐 네트워크를 공격할 수 있을 뿐 아니라 악성코드 유포의 숙주로 악용되는 경우가 늘어날 것”이라고 관측했다.

SNS를 악용한 공격도 큰 파장을 불러올 것으로 예상된다.

이스트시큐리티 문종현 이사는 “유명인의 SNS 계정을 해킹해 악성코드를 다량으로 유포하거나 지인을 가장해 SNS 메신저를 활용한 맞춤형 표적 공격이 많이 발생할 것”이라고 전망했다. 미모의 여성 사진을 도용해 만든 가짜 프로필로 돈을 탈취하는 ‘미인계 피싱’도 내년에 증가할 것으로 예측됐다.

보안에 취약한 인터넷 단말기도 보안 관리자의 고민거리가 될 것으로 전망됐다. 이들 단말기는 최종 사용자가 네트워크에 접속하는 지점이라는 의미로 ‘엔드포인트’라고도 불린다.

PC, 스마트폰 등이 해당된다. 사용자들이 초기 비밀번호를 제대로 바꾸지 않는 경우가 많아 보안 공격의 시작점이나 해킹 통로로 활용될 수 있다.

인공지능(AI)을 적용한 지능화된 보안 위협도 증가할 것으로 예상됐다. 악성행위 탐지를 우회하는 기술이다. IoT뿐만 아니라 민감한 사회 이슈를 이용한 스피어피싱과 지능형 지속 공격(APT), 소프트웨어 공격망을 악용한 해킹 시도는 내년에도 여전히 활개를 칠 것으로 예측됐다.

KISA는 “해킹 공격에 악용되지 않기 위해서는 SNS와 IP 카메라 등 IoT 기기에 안전한 초기 비밀번호를 설정해야 한다”며 “또 최신 보안 업데이트, 취약점 점검 등 기본적인 보안 관리를 더욱 철저히 해야 한다”고 당부했다.

유성열 기자 nukuva@kmib.co.kr