IT Info

GCP 암호화폐 채굴로 인한 리소스 중단 이슈 (your Google Cloud Project is engaging in cryptocurrency mining)

Jan92 2023. 7. 2. 00:20

your Google Cloud Project is engaging incryptocurrency mining

Immediate action required: Restore the suspended resources in your gcp project

최근 사용 중이던 gcp compute engine vm 인스턴스에 대해 아래와 같은 메일을 받았습니다.

 

'your Google Cloud Project is engaging in cryptocurrency mining, resulting in the suspension of all project resources displaying this behavior.'

'귀하의 구글 클라우드 프로젝트가 암호화폐 채굴에 참여하고 있으며, 프로젝트의 모든 리소스가 일시 중단됩니다.'

 

 

GCP Compute Engine VM 인스턴스

gcp console에 접속하여 해당 프로젝트를 확인해 보니 메일의 내용처럼 vm 인스턴스가 정지된 상태였는데요.

무료 서버였기 때문에 따로 요금이 발생할 염려는 없었지만, 혹시나 싶어서 확인해 본 결과 다행히 추가로 발생된 요금은 없었습니다.

 

 

이러한 문제에 대해 같은 사례가 있는지 구글링을 통해 확인

출처 - https://www.cnbc.com/2021/11/26/google-warns-crypto-miners-are-using-compromised-cloud-accounts-.html

(해킹된 구글 클라우드 계정의 약 86%가 암호화폐 채굴에 사용되고 있다는 뉴스)

 

클라우드 계정 암호화폐 채굴로 인한 리소스 일시 중단에 대한 글

(stackoverflow에 올라온 관련 글들)

 

이어서 구글링을 통해 이와 같은 사례가 또 있는지 확인해 보았는데요.

여러 뉴스 기사와 stackoverflow 등에서도 같은 상황에 대한 문의를 상당수 찾아볼 수 있었습니다.

 

* 뉴스 기사에 따르면 해킹 공격 후 22초 만에 마이닝 소프트웨어가 설치되기 때문에 수작업으로 막거나 방지하기 어렵다고 합니다.

 

 

해결 방법은?

해결 방법으로는 메일의 링크 또는 gcp console의 경고 메시지 링크를 통해 항소 신청(재검토 요청)을 하는 것이 방법인데요.

여러 사례를 찾아보니 항소 신청을 하더라도 응답을 받지 못해 결국 프로젝트를 삭제하는 경우가 많았습니다.

 

***

결론적으로 가능한 경우 가장 간단한 해결 방법은 '서버를 삭제하는 것'이라는 의견이 많았으며, 만약 해당 서버에서 채굴과 관련하여 비용이 발생한 경우 관련 데이터를 보존하기 위해 문제 해결 전까지 서버를 지우지 않는 것이 좋을 수도 있습니다.

 

저의 경우 해당 서버를 wordpress 블로그용 서버로 사용할 예정이었으며, 다행히 wordpress 설치 후 다른 작업은 하지 않은 상태라 서버 인스턴스를 지워도 문제가 되지 않았습니다.

 

 

원인은 무엇이었을까?

구글 암호화폐 채굴 공격으로부터 보호하기 위한 권장사항

구글의 '암호화폐 채굴 공격으로부터 보호하기 위한 권장사항' 참고 문서를 살펴보면, 공격자는 아래와 같은 취약점을 악용한다고 하는데요.

(해당 서버는 ssh 키를 통해 접속할 수 있었으며, 키 파일 외에 접속에 대한 비밀번호도 걸어놓은 상태였습니다.)

 

gcp console에서도 관련 log를 찾아볼 수 없었으며, 서버에도 접속할 수 없었기 때문에 정확한 원인을 찾을 수는 없었는데요.

예상되는 문제로는 wordpress 설치 후 관련 보안 설정을 하나도 하지 않았으며, wordpress admin site가 무방비로 열려있었기 때문이 아닐까 추측하고 있습니다.

 

결론적으로 문제가 발생한 정확한 원인(어떤 경로를 통해 마이닝 프로그램이 설치되어 동작한 건지)은 파악하지 못했으며, 암호화폐 채굴 관련 공격을 예방하기 위해서는 compute engine에 대한 보안에 신경을 쓰는 것이 최선의 조치인 것 같다고 결론을 지었습니다.

 

* 아래는 gcp vm 인스턴스의 보안에 대한 자료이며 필요하신 경우 참고하시면 좋을 것 같습니다.

 

 

 

 

< 암호화폐 채굴 공격으로부터 보호하기 위한 권장사항 >

https://cloud.google.com/architecture/bps-for-protecting-against-crytocurrency-attacks?hl=ko

 

< GCP Compute Engine 보안 기술 관련 자료 >

https://seculibrary.com/m/10

저작자표시

'IT Info' 카테고리의 다른 글

(티스토리) 오디세이 스킨, 글 제목 배경 제거하는 방법  (1) 2024.03.05
아이폰 푸시 알림 안 오는 경우 해결 방법(위치 및 개인 정보 보호 재설정)  (2) 2023.12.23
gcp wordpress 워드프레스 설치 방법(php 8.1)  (0) 2023.06.26
크롬 원격 데스크톱 사용하는 방법(Chrome Remote Desktop)  (2) 2023.04.30
단축키를 사용하자, IntelliJ 활용도 높은 단축키 정리  (0) 2023.02.26

'IT Info'의 다른글

  • 현재글GCP 암호화폐 채굴로 인한 리소스 중단 이슈 (your Google Cloud Project is engaging in cryptocurrency mining)

관련글

댓글

티스토리툴바