[아이뉴스24 김국배 기자] PC 부팅에까지 악영향을 미칠 수 있는 암호화폐 채굴형 악성코드가 등장했다.
27일 안랩에 따르면 지난 2월 PC의 마스터부트레코드(MBR)을 변조하는 악성코드가 발견됐다.
이 악성코드는 암호화폐 중 하나인 모네로(XMR)를 채굴할 뿐만 아니라 국내외 보안 제품의 동작을 방해하고 시스템의 MBR를 변조하는 기능을 갖고 있는 게 특징. MBR은 부팅과 연관된 하드디스크 영역으로 MBR 정보가 파괴될 경우 PC를 작동시킬 수 없다.
특히 국내에서는 지난 3월 중순 이후 해당 악성코드가 집중적으로 유포되고 있는 것으로 파악됐다.
안랩 관계자는 “3월 20일 전후로 MBR 감염 행위 탐지 수가 급증했다”며 “22일에만 80여 건이 확인됐다”고 말했다.
이 악성코드의 상당수는 일명 ‘다크클라우드 부트킷(DarkCloud Bootkit)’을 써서 감염 PC의 MBR를 변조하기 때문에 MBR를 확인하더라도 정상적으로 보이는 MBR 정보를 노출한다. MBR 감염 사실을 바로 알기 어렵다는 뜻이다.
해당 악성코드에 감염되면 가장 먼저 MBR 영역에 악성 셸코드를 덮어쓴다. 이 셸코드가 실행되면 외부와의 통신을 통해 모네로를 채굴하는 파일을 PC에 다운로드하고 실행한다. 셸코드는 다수의 백신 프로그램을 강제 종료하는 기능까지 수행한다.
현재 안랩은 V3 백신 제품에서 해당 악성코드가 MBR 영역 감염을 시도할 때 행위 기반으로 이를 탐지해 알림창을 제공하고 있다.
한편 암호화폐 채굴 악성코드는 최근까지도 지속적으로 유포되는 상황이다. 앞서 글로벌 보안업체 트렌드마이크로는 지난 한 해 동안 100만 건 이상의 암호화폐 채굴 악성코드를 감지했다고 밝힌 바 있다. 이는 전년대비 237% 증가한 수치다. 공격 방법도 팝업 광고, 플러그인, 봇넷 등 다양한 형태를 띠는 것으로 나타났다.
감염 후 변조된 MBR(위)과 감염 전 정상 MBR(아래) [자료=안랩]
김국배기자 vermeer@inews24.com