본문 바로가기
Security Essay

코인 채굴 악성코드에 감염된 정부 시스템

by _Jay_ 2022. 12. 8.
반응형

 

 

제가 대학원에 다닐 때 쯤 2016년도 말 정도부터 연구실에 몰래 비트코인을 채굴하는 시스템을 만든 사람들이 종종 있었습니다. 연구용 PC의 GPU가 생각보다 성능이 좋았고, 집에서 감당할 수 없는 전기요금을 학교에서 대신 지불해주니 코인 채굴을 하는 행위들이 암암리에 이루어졌던 것이죠. 당연히 불법이지만, 학교 측에서는 1년 넘게 지난 뒤에야 이러한 정황을 알아차리고 코인 채굴을 멈추게 했었는데요. 학교에서 이런 부분들을 너무 늦게 파악해서 어이가 없었던 기억이 있었는데, 이번에는 정부의 시스템에서 코인 채굴 악성코드에 감염된 사실을 4년 만에 알았다고 합니다. 그래서 오늘은 간단하게 이 부분에 대해 말씀드리도록 하겠습니다.

정부에서는 2017년 부터 축산 농가 700여 곳에 국비 60억 이상을 들여서, 암모니아나 메탄가스와 같은 농가에서 발생하는 악취 농도를 실시간으로 측정하는 장비를 설치했다고 합니다. 아마 시스템 자체는 공기 중 특정 성분을 측정하는 센서를 달고 리눅스와 같은 시스템에서 연산을 통해 농도 변화를 감지하는 프로그램을 돌렸을 것으로 생각되는데요. 문제는 이 프로그램을 돌리는 서버를 구축할 때, 외부에서 접근을 막는 방화벽 설정이나 계정 관리, 접근 통제와 같은 보호조치를 제대로 수행하지 않은 것으로 보입니다.

침해사고 분석 보고서를 보면 VPN을 사용하기 전인 2017년 10월 경 외부에서 접근한 로그가 확인되었다고 하는데, 아마 리눅스에서 일반 계정을 만들어서 외부에서 SSH 프로토콜을 통해 접속했던 것으로 생각되는데요. 계정의 패스워드를 "1234"와 같이 간단하게 설정했을 것으로 보이고, 패스워드가 일정 횟수 이상 틀렸을 때 계정 잠금을 하지 않아 무작위 대입 공격을 통해 접속할 수 있었을 것 같습니다. 또한 특정 IP만 접근할 수 있도록 방화벽에 보안 정책을 설정하지 않은 것도 문제가 되겠죠.

이러한 침해사고가 발생하였다는 것은 2020년 말에 해당 시스템에 별도의 보안 서비스를 설치하여 로그를 분석하여 보는 도중, 평소 접속하는 IP가 아닌 다른 곳에서 접속했다는 것을 보고 알게 되었다고 합니다. 아마 해커가 해당 시스템의 계정 패스워드를 알아내서 접속하고, 코인 채굴 프로그램을 설치하여 악성 C&C 서버로 채굴한 코인을 보냈겠죠. 악성 C&C 서버와 통신한 로그도 보안 서비스를 설치한 이후의 로그로만 확인할 수 있었다는데, 그렇게 되면 2017년 부터 정부 시스템을 이용하여 꾸준히 채굴을 진행한 것을 보입니다.

 

 

코인 채굴에 쓰인 '정부 시스템'…4년 넘게 아무도 몰랐다

축산 농가에서 발생하는 악취를 실시간으로 측정하는 정부 시스템이 있습니다. 그런데, 이 시스템이 악성 코드에 감염돼 코인 채굴에 쓰였는데, 4년이 넘게 아무도 모르고 있었습니다.

news.sbs.co.kr

 

사실 위와 같은 정부 시스템들은 학계나 산업계의 입찰을 받아 국가 과제로 진행하는 경우가 많습니다. 연구비를 지원 받아야 하다 보니 시스템의 기능 구현이나 성능에 치중하고 해당 시스템의 보안은 등한시하는 경향이 있죠. 앞서 말씀드린 IP 접근 통제나 패스워드 오류 시 계정 잠금과 같은 보안 설정을 조금만 신경 썼으면 저런 문제는 발생하지 않았을거라 보는데요. 개인적으로는 정부에서도 IT 국가 과제 진행 시 시스템의 기능 평가 뿐만 아니라 보안에 대한 평가도 함께 이루어졌으면 합니다. 그럼 이번 글은 여기서 끝내도록 하죠. 읽어주셔서 감사합니다.

 

 

반응형

댓글