논문 리뷰 - (2) 내부 보안 강화를 위한 암호화폐 채굴 증거 관련 윈도우 아티팩트 분석

암호화폐 아티팩트 관련 논문을 찾다가 읽어보게 된 논문에 대해서 간단하게 요약하고 리뷰해보겠습니다. 논문은 7 페이지 정도 분량의 짧은 논문이며, 학부생이 작성한 논문입니다.

 

내부 보안 강화를 위한 암호화폐 채굴 증거 관련 윈도우 아티팩트 분석

 

암호화폐 가격 급증과 동시에 암호화폐 채굴과 관련된 사회적인 이슈가 지속적으로 발생하고 있습니다. 특히, 암호화폐는 암호 연산을 통해 취득할 수 있어 컴퓨터만 있다면 누구나 쉽게 채굴을 시도할 수 있습니다. 주요 암호화폐의 자산가치가 증가함에 따라 대중들의 관심도 함께 증가하고 있습니다. 높은 사양의 컴퓨터를 소유하고 있는 개인이 가정이나 회사 등 다양한 장소에서 암호화폐를 채굴하는 사례가 늘어나고 있습니다. 채굴에는 많은 전기에너지를 소모하는 컴퓨터의 발열 문제로 일부 도덕적 문제가 발생하고 있습니다. 따라서 암호화폐를 채굴한 컴퓨터들의 윈도우 아티팩트를 분석하여 채굴을 시도한 흔적들에 대해서 증거를 획득하는 기술을 연구합니다.

 

암호화폐를 채굴할 때에는 채굴 효율을 높이기 위해 여러 GPU를 사용하여 병렬처리를 하거나 채굴기를 사용하여 채굴하는 일이 빈번하게 발생하고 있습니다. 채굴에 사용되는 CPU와 GPU의 사용량이 늘어날수록 소비전력량도 함께 증가하게 되는데, 소비전력량이 늘어날 수록 전기요금도 함께 상승합니다. 따라서 가정용 전기보다 저렴하게 공급되는 농업 또는 산업용 전기로 채굴을 하는 불법행위가 발생하고 있습니다. 영국에서는 불법으로 전기를 훔쳐 쓴 채굴 현장을 적발하고 채굴에 사용된 컴퓨터를 압수한 사례가 있으며, 국내에서도 개발제한구역에서 불법으로 암호화폐를 채굴한 사례가 있습니다. 

 

암호화폐 채굴 탐지 방법에는 다음과 같은 것들이 있습니다. 평년, 평월 등의 사용량과 비교하여 상대적으로 급증하는 경우 불법 채굴로 의심할 수 있으며, Felipe Ribas Coutinho 는 불법 채굴자 색출을 위해 Wireshark, Tcpdump를 활용한 물리적 탐지, "Bitcoin", "Monero" 또는 "Crypto" 같은 문자열을 가진 디렉터리 또는 파일을 찾는 방법과 인터넷 검색기록을 통한 색출 방법 등이 연구되고 있다고 합니다.

 

논문의 저자는 직접 암호화폐 채굴 환경을 구축했습니다.  채굴 프로그램으로 PhoenixMiner 을 사용했고 GPU는 RTX 3070 을 사용했습니다. 암호화폐 채굴 후 수집한 Windows Artifact 는 다음과 같습니다.

웹 브라우저 기록을 통해 채굴자가 채굴에 따른 보상을 받을 암호화폐 지갑 관리와 채굴량을 확인할 수 있는 사이트에 접속했는지에 대한 여부를 확인할 필요가 있습니다. https://ethermine.org, https://miningpoolhub.com 외 오버클럭을 위한 프로그램을 검색한 기록도 도움이 될 수 있을 것입니다. 또한 채굴 관련 프로그램 다운로드 기록과 암호화폐 지갑 생성 시 본인인증용 인증키를 파일 형식으로 다운로드했다면 History에 기록이 남을 것입니다.

Prefetch와 UserAssist 값을 통해 채굴 프로그램과 오버클럭 프로그램 실행 여부를 확인할 수 있습니다. 프로그램 실행 횟수, 최종 실행 시간 등 기록을 확인할 수 있습니다.

이벤트로그를 통해 windows 로그인, 로그아웃 기록, 네트워크 등의 데이터를 확인할 수 있습니다. 시스템의 on/off 기록과 프로그램 실행 시간을 대조하여 해당 컴퓨터가 채굴에 사용된 시간대와 활동 시간을 확인할 수 있습니다. 보안감사 전문 도구인 더존 DFAS 프로그램을 활용하여 시각적으로 타임라인 분석 및 시스템 on/off 정보를 확인 및 분석할 수 있습니다.

점프리스트를 통해 최근 열람했거나 자주 열람되는 파일들의 리스트를 확인할 수 있습니다. 채굴에 사용된 컴퓨터의 Jumplist를 확인한다면 오버클럭 프로그램과 채굴과 관련된 start.bat 등의 프로그램들이 기록되어 있는 것을 확인할 수 잇습니다.

암호화폐를 국가통화로 인정하는 일부 국가가 생기고 있습니다. 향후 암호화폐 사용량은 더욱 증가할 것으로 보이며, 암호화폐를 채굴하는 채굴자 역시 증가할 것으로 예측됩니다. 새로운 암호화폐의 등장과 채굴 방법이 발전함에 따라 내부 보안의 관점에서 윈도우 아티팩트에 대한 추가 연구가 필요합니다.

 

 

최근 암호화폐 아티팩트를 분석하고 있어서 비슷한 연구가 기존에 존재했는지 찾아보게 되었는데 아무래도 학부 논문이다보니 분석의 깊이가 깊지는 않은 것 같다는 생각이 들었습니다.

암호화폐 채굴을 하게 되면 네트워크 사용량이 상당할 것인데, srum 과 같은 네트워크 사용량과 관련된 아티팩트에 대한 내용이 있었으면 더 좋았겠다는 생각을 해봅니다.