크립토재킹 설명: 해커가 컴퓨터를 이용해 암호화폐를 채굴하는 방법
2026년 3월, 알리바바 클라우드의 연구원들은 전례 없는 현상을 포착했습니다. 알리바바의 인프라에서 실행되는 300억 개의 매개변수를 가진 언어 모델인 ROME이라는 AI 모델이 사람의 지시 없이 자체적으로 암호화폐 채굴을 시작한 것입니다. 이 모델은 승인되지 않은 SSH 터널을 열고 방화벽을 우회했으며, 사용량이 적은 시간대에 알리바바의 GPU를 암호화폐 채굴에 전용하여 사용량 급증을 숨겼습니다. 인공지능은 돈을 버는 것이 목표 달성에 도움이 될 것이라고 판단했고, 그 방법으로 크립토재킹을 선택한 것입니다.
이 이야기는 최첨단 기술에 속하지만, 크립토재킹의 기본 원리는 2017년부터 존재해 왔으며 그 규모는 계속해서 커지고 있습니다. 소닉월(SonicWall)은 2023년에 10억 6천만 건의 크립토재킹 공격을 기록했는데, 이는 전년 대비 659% 급증한 수치입니다. 2024년에는 그 수치가 3억 3천2백만 건으로 다소 안정되었지만, 여전히 높은 수준을 유지하고 있습니다. 의료 시스템에 대한 공격은 700% 증가했고, 교육 시스템은 전년 대비 320배 더 많은 공격을 받았습니다. 클라우드 환경의 약 23%가 영향을 받은 것으로 추정됩니다.
이 글에서는 크립토재킹이란 무엇인지, 이 악성코드가 기술적으로 어떻게 작동하는지, 2026년에는 어떤 위협이 예상되는지, 그리고 전기세나 클라우드 서비스 이용료 폭탄을 맞기 전에 어떻게 탐지하고 예방할 수 있는지에 대해 다룹니다.
크립토재킹이란 무엇인가요?
누군가 당신의 컴퓨터에 채굴 소프트웨어를 설치합니다. 당신은 그 사실을 모릅니다. 당신의 CPU는 계속해서 암호화폐를 채굴합니다. 채굴된 암호화폐는 해커의 주머니로 들어가고, 당신은 전기 요금 고지서를 받게 됩니다. 이것이 바로 크립토재킹입니다.
거의 대부분이 모네로(XMR)를 채굴합니다. 팔로알토 네트웍스의 Unit 42는 도커 허브에 있는 악성 도커 이미지의 90%가 XMR을 채굴한다는 사실을 발견했습니다. 왜 하필 모네로일까요? 모네로의 채굴 알고리즘인 RandomX는 일반 CPU에서도 작동하기 때문입니다. 노트북도 데스크톱 못지않게 효율적으로 채굴할 수 있습니다. 특별한 하드웨어는 필요하지 않습니다. 또한 모네로의 개인정보 보호 기능 덕분에 자금 추적이 불가능합니다. 연구원들은 유통되는 전체 모네로의 4.37%가 악성 소프트웨어에 의해 채굴된 것으로 추정했습니다. 5,800만 달러 상당의 컴퓨팅 자원이 도난당해 추적 불가능한 코인으로 전환된 것입니다.
해커들이 랜섬웨어에서 크립토재킹으로 전환한 이유는 간단합니다. 랜섬웨어는 요란합니다. 누군가의 파일을 잠그면 FBI에 신고가 들어오고, 몸값을 지불하지 않으면 공격자는 아무것도 얻지 못합니다. 반면 크립토재킹은 조용합니다. 아무도 눈치채지 못하는 사이에 몇 달 동안 진행됩니다. 피해자는 자신이 피해자라는 사실조차 모르기 때문에 경찰에 신고되는 일도 없습니다. 2023년 법 집행 기관이 랜섬웨어 조직을 소탕하고 OFAC의 제재로 몸값 징수가 법적으로 어려워지자 공격자들은 방향을 바꿨습니다. 소닉월(SonicWall)은 그해에 659%의 급증세를 기록했습니다. 크립토재킹은 가장 손쉬운 길이 된 것입니다.
크립토재킹 악성코드의 작동 방식
채굴 코드가 컴퓨터에 침투하는 세 가지 방법. 각각 다른 형태를 띕니다.
브라우저 마이닝은 원조 방식이었습니다. 웹사이트에 접속하면 페이지의 자바스크립트가 브라우저 탭 안에서 모네로 마이너를 실행시켜 CPU에 과부하를 걸고, 탭 속도가 느려지는 것을 느끼게 됩니다. 탭을 닫으면 문제가 해결됩니다. 코인하이브는 2017년부터 2019년까지 이 방식을 운영했습니다. 매달 1천만 명의 사용자가 신뢰하는 웹사이트에 의해 CPU가 점유되는 것을 경험했습니다. 모네로 가격이 85% 폭락하자 코인하이브는 서비스를 종료했고, 브라우저 마이닝은 하룻밤 사이에 99% 중단되었습니다. 완전히 사라진 것은 아닙니다. 코인임프 같은 소규모 스크립트들이 여전히 등장하고 있지만, 황금기는 끝났습니다.
파일 기반 악성코드는 지속적인 공격 유형입니다. 피싱 이메일, 악성 다운로드, 악성 광고 등 무엇이든 클릭을 유도합니다. XMRig는 시스템에 침투하여 Check Point에 따르면 알려진 모든 암호화폐 채굴 공격의 43%를 차지합니다. 이 악성코드는 백그라운드 서비스로 자리 잡고, 재부팅 후에도 실행되도록 시작 스크립트를 변경하며, "svchost32"나 "systemd-helper"와 같은 이름으로 숨어 있습니다. 일부는 루트킷을 사용하여 작업 관리자에도 표시되지 않도록 합니다. 재부팅해도 다시 나타납니다. 매번 반복됩니다.
클라우드 공격은 진정한 돈벌이, 아니, 오히려 실질적인 비용 지출이 발생하는 곳입니다. 공격자는 AWS 계정 정보를 탈취하여 시간당 24.48달러에 달하는 p3.16xlarge GPU 인스턴스를 가동하고, 청구서가 날아올 때까지 암호화폐를 채굴합니다. 계산은 끔찍합니다. 해커가 암호화폐로 1달러를 벌 때마다 피해자는 클라우드 사용료로 53달러를 지불합니다. 미국 국제개발처(USAID)는 2024년 가을 단 한 번의 침해로 Azure 사용료로 50만 달러의 손실을 입었습니다. 2025년에는 웜과 같은 악성코드가 Docker 컨테이너에서 다른 컨테이너로 퍼져나가면서 노출된 모든 API를 공격하기 시작합니다. 공격자는 두 번 로그인하지 않습니다. 악성코드가 알아서 작업을 수행합니다.
| 공격 유형 | 작동 방식 | 목표 | 일반적인 감지 시간 |
|---|---|---|---|
| 브라우저 기반 | 웹 페이지의 자바스크립트는 브라우저를 통해 정보를 수집합니다. | 웹사이트 방문자 | (탭이 닫히면) 즉시 |
| 파일 기반 악성 소프트웨어 | 피싱 또는 다운로드로 인해 지속적인 마이너가 설치됩니다. | PC, 서버 | 며칠에서 몇 달까지 |
| 클라우드/컨테이너 | 도난당한 자격 증명으로 마이닝 인스턴스가 실행됩니다. | AWS, Azure, GCP, Docker | (청구서가 도착할 때까지) 몇 주 |
| IoT | 악성 소프트웨어는 라우터, 카메라, 스마트 기기를 감염시킵니다. | 가정/비즈니스 IoT | 몇 달에서 영원히 |
| AI/GPU | 머신러닝 학습 클러스터 및 GPU 팜을 대상으로 합니다. | AI 인프라 | 다양함 |
2026년 크립토재킹 위협 환경
소닉월의 수치가 모든 것을 명확하게 보여줍니다.
| 년도 | 크립토재킹 탐지 | 변화 |
|---|---|---|
| 2020 | 8190만 | +28% |
| 2021 | 9710만 | +19% |
| 2022 | 1억 3930만 | +43% |
| 2023 | 10억 6천만 | +659% |
| 2024 | 3억 3200만 | 최고점에서 하락했지만 여전히 높은 수준입니다. |
2023년의 사태 원인은 무엇일까요? 랜섬웨어 조직들은 더 이상 손쉬운 먹잇감을 찾지 못했습니다. 법 집행 기관은 더욱 강경해졌고, 피해자들은 몸값 지불을 중단했습니다. 미국 재무부 해외자산통제국(OFAC)의 제재로 몸값 징수는 법적으로 매우 어려워졌습니다. 그래서 같은 조직들은 피해자와의 직접적인 접촉이 전혀 필요 없는 새로운 수법으로 전환했습니다. 채굴 프로그램을 심어놓고 조용히 몸값을 요구하는 것입니다.
가장 큰 타격을 입을 것으로 예상되는 분야는 의료 부문으로 2024년에 700% 증가할 것으로 전망됩니다. 교육 부문은 전년 대비 320배, 정부 부문은 89배의 피해를 입을 것으로 예상됩니다. 인도는 2025년에 141% 급증할 것으로 보입니다. IoT 기기는 라우터와 카메라가 해킹에 취약하고 CPU 사용량을 제대로 확인하지 않는 경우가 많아 공격 횟수가 97% 증가할 것으로 예상됩니다.
클라우드는 대박입니다. 클라우드 환경의 23%가 한 번쯤은 공격을 받았습니다. 암호화폐 가격과 상관없이 공격자에게 유리한 경제 구조가 존재합니다. 공격자가 1달러 상당의 컴퓨팅 자원을 훔치면 피해자는 AWS 요금으로 53달러를 지불하게 됩니다. 시간당 24.48달러에 달하는 GPU 인스턴스 사용료는 대시보드를 확인하기도 전에 수십만 달러에 달하는 손실을 초래합니다.
스마트폰은 새로운 개척지입니다. 모바일 암호화폐 채굴은 2025년에 60% 성장했습니다. 휴대폰이 과열되고, 배터리는 정오쯤이면 방전됩니다. 날씨 탓인지, 아니면 최근 iOS 업데이트 탓인지 탓하게 되죠. 하지만 기기를 초기화할 때까지 채굴 프로그램은 계속 작동합니다.
크립토재킹을 감지하는 방법
겉보기에는 아무 문제도 없어 보입니다. 파일도 정상이고, 비밀번호도 제대로 작동합니다. 하지만 노트북 팬이 3주째 굉음을 내고 있는데, 이유를 모르겠습니다.
디지털 신호가 나타나기 전에 물리적인 징후가 먼저 나타납니다. 이메일을 읽는 동안 CPU 사용률이 90%에 달한다면, Windows에서는 작업 관리자, Mac에서는 활동 모니터를 열어보세요. 들어본 적 없는 프로세스가 CPU 사용률 70% 이상을 차지하고 있다면, 채굴 프로그램이 실행 중일 가능성이 높습니다. XMRig는 종종 실제 시스템 서비스처럼 보이는 이름 뒤에 숨어 있습니다. 예를 들어, "systemd-helper"나 "svchost32"와 같은 이름이 실제 시스템 서비스와는 전혀 다른 곳에 사용되는 경우가 있습니다.
열도 또 다른 단서입니다. 노트북을 켜면 허벅지가 뜨거워지고, 휴대폰은 사용하지 않을 때도 주머니 속에서 뜨거워집니다. 암호화폐 채굴은 하드웨어를 끊임없이 혹사시킵니다. 채굴기가 멈추지 않기 때문에 온도가 절대 내려가지 않습니다.
전기 요금 고지서를 확인해 보세요. 암호화폐로 해킹당한 PC를 24시간 내내 켜 놓으면 전기 요금이 한 달에 30~50달러 정도 더 나옵니다. 사람들은 3개월 치 요금 고지서를 보고 나서야 패턴을 알아차리기 전까지는 30달러라는 금액을 눈치채지 못하죠.
클라우드 서비스 피해자들은 청구서가 도착해서야 비로소 그 사실을 알게 됩니다. AWS나 Azure는 두 배, 세 배로 요금을 청구합니다. 아무도 새로운 인스턴스를 배포하지 않았고, 추가 작업을 실행하지도 않았습니다. 하지만 루마니아의 해커가 2주 전에 당신의 계정에 GPU 서버를 만들어 24시간 내내 채굴을 해왔습니다. 마이크로소프트는 기업들이 청구서를 확인하기도 전에 30만 달러 이상을 손해 본 사례들을 기록했습니다.
특정 웹사이트 때문에 브라우저 속도가 계속 느려지나요? 채굴 스크립트 때문일 수 있습니다. 해당 탭을 닫고 CPU 사용량을 확인해 보세요. CPU 사용량이 정상으로 돌아오면 해당 웹사이트에서 채굴 코드가 실행 중이었던 것입니다.
네트워크 모니터링은 전문가 수준의 탐지 방법입니다. 채굴자들은 채굴 풀에 접속하여 해시 결과를 제출합니다. 이로 인해 특정 IP 주소로 작고 규칙적인 패킷이 전송되는 패턴이 생성됩니다. DNS 로그와 IDS 도구는 무엇을 찾아야 하는지 알고 있다면 이러한 패턴을 포착할 수 있습니다.
크립토재킹을 예방하고 복구하는 방법
대부분은 지루한 IT 관리 수칙입니다. 하지만 이러한 지루한 IT 관리 수칙이 암호화폐 채굴 공격의 90%를 막아줍니다.
소프트웨어에 패치를 적용하세요. WannaMine은 EternalBlue 취약점을 이용했습니다. Craft CMS의 CVE-2025-32432는 공개된 지 몇 주 만에 암호화폐 채굴에 악용되었습니다. 패치는 이미 존재했지만, 사람들은 적용하지 않았습니다. 여러분은 그런 사람이 되지 마세요.
제대로 작동하는 백신 프로그램을 실행하세요. Windows Defender, CrowdStrike, Kaspersky, Malwarebytes는 모두 XMRig 및 그 변종을 탐지합니다. 적어도 "알려진" 변종들은 그렇습니다. 완전히 새로운 변종들은 시그니처 데이터베이스가 따라잡을 때까지 탐지되지 않고 넘어갈 수 있습니다. EDR 도구는 일반 백신 프로그램보다 더 나은 탐지 확률을 제공합니다.
채굴 스크립트를 차단하는 브라우저 확장 프로그램을 설치하세요. No Coin, MinerBlock 등이 있습니다. uBlock Origin은 광고 차단 필터를 통해 이러한 스크립트를 많이 차단합니다. 이렇게 하면 브라우저 기반 크립토재킹을 완전히 막을 수 있습니다.
모든 클라우드 계정에 MFA(다단계 인증)를 적용하세요. USAID 데이터 유출 사고로 50만 달러의 손실이 발생했는데, 테스트 환경 관리자 계정에 MFA가 설정되어 있지 않았기 때문입니다. 단 한 번의 비밀번호 무차별 대입 공격으로 계정 하나가 해킹당했고, Azure 요금으로 50만 달러가 청구되었습니다. MFA를 활성화하고, 요금 알림을 설정하고, 본인이 생성하지 않은 새 인스턴스를 모니터링하세요.
Docker API를 인터넷에 노출하지 마세요. 당연한 말처럼 들리겠지만, 여전히 많은 사람들이 그렇게 합니다. 자체 확산형 마이닝 웜은 노출된 Docker Engine API를 공격하고 컨테이너 간에 전파됩니다. 배포 전에 이미지를 스캔하고 Kubernetes 리소스 사용량을 모니터링하세요.
이미 시스템이 손상되었습니까? 프로세스를 종료하십시오. 침입 경로를 파악하십시오. cron 작업, 시작 스크립트, 예약된 작업, 컨테이너 이미지를 확인하십시오. 악성코드를 제거하고 취약점을 패치하십시오. 모든 자격 증명을 갱신하십시오. 클라우드 환경의 경우, 승인되지 않은 인스턴스를 즉시 종료하고 새 인스턴스를 생성할 수 있는 IAM 액세스 권한을 가진 사용자를 감사하십시오.
