약한 비밀번호 악용한 악성코드, PostgreSQL에서 암호화폐 채굴 악성코드 설치

최대 80만 개의 인터넷 연결 데이터베이스가 암호화폐 채굴 악성코드에 취약할 수 있다.

22일(현지시간) 코인텔레그래프에 따르면, 새로운 악성코드가 데이터베이스를 대상으로 암호화폐 채굴 소프트웨어를 설치하는 것으로 확인되었다. 'PG_MEM'으로 명명된 이 악성코드는 약한 비밀번호를 사용하는 PostgreSQL 관리 데이터베이스를 노리고 있으며, 이로 인해 80만 개 이상의 데이터베이스가 잠재적인 공격 대상이 될 수 있다.

클라우드 네이티브 사이버 보안 회사 아쿠아(Aqua)에 따르면, PG_MEM은 브루트포스 공격을 통해 약한 비밀번호를 찾아내고, 그 후 PostgreSQL 관리 데이터베이스에 설치된다. PostgreSQL은 인터넷 연결이 가능한 데이터베이스에 널리 사용되는 객체-관계형 데이터베이스 관리 시스템이다. 전 세계적으로 80만 개 이상의 이러한 데이터베이스가 존재하며, 그중 약 30만 개는 미국에, 10만 개 이상은 폴란드에 위치하고 있다.

공격자가 데이터베이스에 침입하면, 로그인 기능과 높은 권한을 가진 새로운 사용자를 생성하고, 악성코드를 배포하기 위해 공격자의 서버에서 두 개의 파일을 다운로드한다. 또한, 이 악성코드는 다른 공격자들이 데이터베이스의 컴퓨팅 자원을 악용하지 못하도록 차단하면서 자신의 흔적을 지운다. 아쿠아는 이와 관련해 다음과 같이 언급했다.

"이 캠페인은 약한 비밀번호를 가진 인터넷 연결된 PostgreSQL 데이터베이스를 악용하고 있다. 많은 조직이 데이터베이스를 인터넷에 연결하며, 이는 잘못된 설정과 적절한 신원 관리의 부족으로 인해 발생한 문제다. 이 문제는 드물지 않으며, 많은 대규모 조직들이 이러한 문제로 고통받고 있다."

악성코드가 활성화되면, 이는 채굴 풀에 연결되어 호스트의 컴퓨팅 자원을 다른 채굴자들의 자원과 결합해 새로운 블록을 채굴할 가능성을 높인다.

이러한 악성코드를 이용한 암호화폐 채굴을 '크립토재킹'이라고 하며, 이는 개인 컴퓨터에도 설치될 수 있다. 크립토재킹 악성코드는 점점 더 빈번하게 발생하고 있으며, 2023년 상반기 동안 암호화폐 악성코드 공격이 전년 대비 400% 증가한 것으로 나타났다.

이러한 사용되지 않는 컴퓨팅 자원은 적법한 하드웨어 사용자들이 채굴이나 다른 용도로 활용할 수 있다. 예를 들어, 탈중앙화 클라우드 인프라 제공업체 에이티르(Aethir)는 3급 및 4급 데이터 센터에서 컴퓨팅 자원을 조달하여 고객에게 저렴하고 확장 가능한 컴퓨팅 서비스를 제공하는 GPU-as-a-service 탈중앙화 물리적 인프라 네트워크(DePIN)를 운영하고 있다.

뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기