크립토재킹, 모바일 게임 이용자 노린다

글자 작게 글자 크게 인쇄하기
블루스택에서 소녀전선 실행 시 함께 구동됐던 코인하이브 자바스크립트
<블루스택에서 소녀전선 실행 시 함께 구동됐던 코인하이브 자바스크립트>

악성코드로 타인의 PC를 암호화폐 채굴에 악용하는 '크립토재킹(Cryptojacking)'이 극성이다. PC로 모바일 게임을 즐기는 이들을 노린 공격이 발견됐다.

6일 업계에 따르면 모바일 게임 '소녀전선' 이용자를 노린 크립토재킹이 뒤늦게 알려졌다. 소녀전선은 모바일 게임인데 안드로이드 에뮬레이터 '블루스택'을 이용하면 PC에서 할 수 있다. 공격자는 모바일게임을 PC에서 한 사용자를 노렸다. 블루스택으로 '소녀전선'을 실행할 때마다 백신이 침입 시도 경고를 보냈다.

백신으로 차단된 프로그램은 자바스크립트 기반 암호화폐 채굴 SW '코인하이브(Coinhive)'였다. 공격자는 온라인 광고에 악성코드 스크립트를 심는 멀버타이징 기법을 기반으로 모바일 게임 이용자 PC를 암호화폐 채굴용 좀비PC로 악용했다. 특정 앱이 에뮬레이터에서 실행될 때 맞춤형 광고가 노출되는 점을 악용했을 가능성이 높다.

문제는 당시 '코인하이브'를 차단하는 백신이 어베스트, 노턴, 멀웨어바이츠 등 3개 제품이었다. 이러한 상황은 현재도 다르지 않다. 일부 기업은 '코인하이브'를 합법 서비스로 본다. 코인하이브는 웹사이트 운영 수익을 증대하는 도구를 제공한다고 주장한다.

지난해 출시된 모바일게임 '소녀전선'은 올해도 수개월 동안 구글플레이 매출 상위권에 오를 정도로 인기를 끌었다. '블루스택'은 가장 널리 쓰이는 안드로이드 에뮬레이터다. 이번 공격은 '블루스택'에서 '소녀전선'을 실행하는 이용자만 표적으로 삼았다.

이재춘 한국인터넷진흥원 책임연구원은 “크립토재킹 공격에 쓸 수 있는 도구를 배포하고 암호화폐 채굴 수익을 나누는 '코인하이브'와 같은 곳이 등장하면서, 내년에는 PC뿐 아니라 다양한 플랫폼에서 크립토재킹 공격이 기승을 부릴 전망”이라며 “윈도에서 의도치 않은 프로세스가 동작하는지 확인하거나 방화벽 단에서 '코인하이브' IP를 차단하는 것으로 예방 가능하다”고 설명했다.

팽동현기자 paing@etnews.com