[논문 정리] 내부 보안 강화를 위한 암호화폐 채굴 증거 관련 윈도우 아티팩트 분석

https://www.kci.go.kr/kciportal/ci/sereArticleSearch/ciSereArtiView.kci?sereArticleSearchBean.artiId=ART002831305 

암호화폐 채굴 증거 수집을 위한 윈도우 아티팩트 분석 기술 연구

 

내용 정리

최근 암호화폐 가격 급증과 동시에 암호화폐 채굴과 관련된 사회적인 이슈가 지속 발생하고 있다. 암호화폐들의 자산 가치가 증가함에 따라 대중들의 관심 역시 증가하고 있고 그에 따라 문제점 역시도 많이 발생하고 있다. 이 논문에서는 암호화폐를 채굴한 컴퓨터들의 윈도우 아티팩트를 이용하여 채굴을 시도한 흔적들에 대해서 증거를 획득하는 기술에 관해 연구해 기업의 보안 강화를 위한 내부 감사에 활용할 수 있도록 한다.

 

채굴 증거 획득을 위한 윈도우 아티팩트 중 첫 번째는 웹 브라우저 기록이다. 채굴자가 채굴에 따른 보상받을 암호화폐 지갑 관리와 채굴량을 확인할 수 있는 사이트에 접속했다면 그 증거를 웹 브라우저 기록을 통해 찾아볼 수 있다. 두 번째는 채굴 관련 프로그램 실행 기록이다. 이는 “Prefetch”와 “UserAssist”를 통해 채굴 프로그램과 오버클럭(overclocking) 프로그램 실행 여부를 확인할 수 있다. 채굴 증거 획득을 위한 윈도우 아티팩트 중 세 번째는 Windows Event Logs가 있다. C:\Windows\System32\winevt\Logs\Security. evtx에서 보안 관련된 Event log와 Windows 로그인, 로그아웃 기록, 네트워크 등 다양한 Log 기록을 볼 수 있다. 또 전문적인 포렌식 도구를 활용해 시스템의 On/Off 기록과 프로그램의 실행시간을 대조하여 해당 컴퓨터가 채굴에 사용된 시간대와 활동 시간을 알 수 있다. 마지막으로 확인할 수 있는 아티팩트는 JumpList인데 이는 응용 프로그램을 통해 최근 열람했거나 자주 열람되는 파일들의 리스트이며 대상 파일들의 경로 등 정보를 확인할 수 있다.

 

결론

암호화폐에 대한 자산은 더욱 증가하고 있으며 암호화폐를 채굴하는 채굴자 역시 증가할 것으로 예측된다. 내부 보안의 관점에서 비인가 장비 설치 및 노트북 반출입, 비인가 통신 등의 문제는 기관의 사이버 보안에서도 가장 중요한 문제가 된다. 이러한 문제는 불법 채굴행위를 할 때 사용되는 Miner 프로그램이 안티바이러스 백신에서 악성코드로 감지되어 내부 인터넷망에 문제가 될 가능성 있다. 본 연구를 통해 채굴자가 설치한 불법 채굴기를 발견하는 등 내부 보안을 강화하는데 활용되는 것을 기대할 수 있다.