사이버 방어팀이 불법 가상화폐 채굴 캠페인을 즉시 중단시킬 강력한 무기를 손에 넣었다. 아카마이는 6월 24일 공개한 연구에서 스트라텀(Stratum) 프로토콜의 채굴 풀 정책을 악용해 공격자의 채굴 프록시나 지갑을 차단하는 두 가지 기술, 즉 ‘나쁜 공유(Bad Shares)’ 기법과 오픈소스 도구 ‘XMRogue’를 상세히 설명했다.
공격자는 일반적으로 수천 대의 감염된 기기를 단일 채굴 프록시로 연결해 지갑 주소와 풀 정보를 숨긴다. 하지만 프록시 IP가 풀에서 블랙리스트에 오르면 모든 작업자가 즉시 멈추고 피해자 CPU 사용률은 100%에서 0%로 떨어진다.
아카마이의 첫 번째 전술은 이 취약점을 정면으로 노렸다. 연구팀은 봇넷에 가짜 채굴자로 침투해 의도적으로 잘못된 결과(나쁜 공유)를 반복 제출했고, 이에 따라 실제로 3.3 MH/s를 기록하던 캠페인의 프록시가 나노풀(Nanopool)에서 차단됐다. 해시레이트는 곧바로 0으로 추락했고, 연간 범죄 수익은 약 5만 달러에서 1만 2천 달러 수준으로 76% 급감했다.
자동화는 XMRogue가 담당한다. 이 도구는 스트라텀 작업 메시지에서 작업자 ID, 작업 ID, 논스를 추출한 뒤, 프록시에는 정상으로 보이지만 풀 검증에서는 실패하는 나쁜 공유를 생성한다. 풀의 오류 임계값을 넘으면 프록시 IP가 차단되면서 봇넷 전체가 사실상 해체된다.
일부 공격자는 프록시를 생략하고 감염된 호스트를 모네로오션(MoneroOcean) 같은 공용 풀에 직접 연결한다. 이런 경우 XMRogue는 공격자 지갑 주소로 1,000건 이상의 동시 로그인 요청을 보내 풀의 자동 차단 정책을 유발한다. 대부분의 풀은 일정 시간 지갑을 정지시키므로, 수시간이더라도 소규모 캠페인을 반복적으로 멈출 수 있다.
해당 기법은 풀 정책에 의존하므로 정식 채굴자는 지갑이나 IP만 바꾸면 빠르게 복구할 수 있는 반면, 공격자는 전체 봇넷을 수정해야 해 부담이 훨씬 크다. 연구가 모네로를 중심으로 진행됐지만, 스트라텀 기반 다른 작업증명(PoW) 가상화폐에도 동일 방식이 적용될 수 있다. 아카마이는 XMRogue와 스크립트를 깃허브에 공개해 보안 담당자들이 그대로 재현하고 대응 절차에 통합할 수 있게 했다.
연구를 이끈 마오르 다한은 “합법적 트래픽을 건드리지 않고도 방어자가 주도권을 되찾을 수 있다”고 강조했다. 그는 다만 공격자가 공유 검증을 강화하거나 프록시를 빠르게 교체해 대응할 가능성을 경고했다. 전문가들은 △스트라텀 외부 트래픽 차단 △사용하지 않는 채굴 포트 비활성화 △EDR로 XMRig 행위 탐지 등 기본 방어책을 병행해야 한다고 조언했다. 또한 나쁜 공유 기법 적용 전, 해당 방법이 현지 법규와 풀 이용약관을 준수하는지 반드시 확인하고, 공격자의 빠른 적응 여부를 지속 모니터링해야 한다고 덧붙였다.
![[기술농담] 딥페이크 성착취물, 자유의 이름으로 세탁된 자본](https://www.kgnews.co.kr/data/photos/20250626/art_175072642393_8e94ab.jpg)
