2.1 패시브 DNS (pDNS) 분석
핵심 방법론은 분석을 포함합니다. 패시브 도메인 네임 시스템(pDNS) 추적pDNS 데이터는 DNS 쿼리 및 해결에 대한 역사적 기록을 제공하여, 연구자들이 시간 경과에 따른 도메인 이름과 IP 주소의 매핑을 가능하게 하고, 엔터티 간의 연관성을 식별할 수 있게 합니다(예: 마이닝 풀 도메인과 클라우드 제공업체 IP 범위).
1. 서론
Cryptocurrencies, as a premier application of blockchain technology, have witnessed exponential growth and mainstream adoption. A fundamental component of this ecosystem is the mining pool—블록 보상 획득 확률을 높이기 위해 계산 자원을 결합하는 채굴자들의 집단으로, 획득한 보상은 비례적으로 분배됩니다. 암호화폐는 수많은 이점을 제공하지만, 그 가명성과 분산된 특성은 랜섬웨어 지급 및 은밀한 명령 및 제어(C2) 작전과 같은 악성 활동을 용이하게 합니다. 본 논문은 암호화폐 채굴 풀과 공용 클라우드 인프라 간의 중요한 접점을 조사하여, 그들의 연관성을 프로파일링하고, 보안 노출을 측정하며, 그 이면의 역학 관계를 모델링하는 것을 목표로 합니다.
핵심 가설은 공격자들이 확장성, 유연성 및 남용 가능성(예: 손상된 인스턴스를 통해)으로 인해 암호화폐 채굴을 위해 공용 클라우드 자원을 점점 더 많이 활용한다는 것입니다. 이 변화는 추적 가능한 개인 서버에서 일시적인 클라우드 기반 공격 전선으로 이동함으로써, 현대 컴퓨팅 트렌드와 공격자 유인 간의 융합을 나타냅니다.
2. Methodology & Data Collection
본 연구는 네트워크 인텔리전스 데이터에 기반한 수동적 관찰 접근법을 채택합니다.
2.2 데이터 소스 및 처리
대규모 pDNS 데이터 세트에서 데이터를 집계했습니다. 마이닝 풀 도메인은 공개 목록 및 블록체인 인텔리전스 소스를 통해 식별되었습니다. 이러한 도메인에서 확인된 IP 주소는 각각의 자율 시스템 번호(ASN) 및 조직 소유주에 매핑되어 클라우드 서비스 제공업체(CSP)를 식별하기 위해 사용되었습니다. 보안 평판 데이터는 VirusTotal 에서 상호 참조되어 악성 연관성을 평가했습니다.
3. Key Findings & Statistical Analysis
관련 클라우드 제공업체
24
마이닝 풀과 연관된 고유 클라우드 제공업체 발견.
주요 제공업체 점유율
~48%
Amazon (AWS) 및 Google Cloud와 연결된 연관성.
악성 엔드포인트 (상위 2개 CSP)
30-35%
VirusTotal에서 악성으로 플래그된 연관 엔드포인트.
3.1 마이닝 풀과의 클라우드 제공업체 연관성
분석 결과 24개의 서로 다른 퍼블릭 클라우드 제공업체 가 DNS 확인 경로를 통해 암호화폐 채굴 풀과 관측 가능한 연관성을 보였습니다. 시장은 매우 집중되어 있으며, Amazon Web Services (AWS) 및 Google Cloud Platform (GCP) 관찰된 모든 연관성의 거의 절반(48%)을 차지했습니다. 이는 채굴자와 잠재적 악의적 행위자들이 확립된 대형 제공업체를 선호함을 시사하며, 이는 그들의 방대한 글로벌 인프라, 신뢰성, 그리고 합법적인 트래픽 사이에 섞여 들기 쉬운 점 때문일 가능성이 높습니다.
3.2 분포 및 선호적 연결
클라우드 제공업체의 존재와 마이닝 풀에 대한 연결(연관) 수의 분포는 heavy-tailed distribution, 스케일 프리 네트워크의 특성을 보입니다. 이 패턴은 본질적인 preferential attachment model: 인기 있는 채굴 풀은 대형 클라우드 제공업체와 새로운 연관 관계를 형성할 가능성이 더 높으며, 그 반대의 경우도 마찬가지입니다. 이는 소셜 미디어부터 인용 그래프까지 다른 기술 네트워크에서 관찰된 성장 패턴을 반영하는 "부익부(富益富)" 역학을 만들어냅니다.
3.3 보안 위험 평가
A significant security finding is the high rate of malicious association. Among the endpoints (IPs/domains) associated with the top two cloud providers (AWS & GCP), 30-35%가 양성으로 검출되었습니다 VirusTotal 스캔을 기반으로 악성 활동과 연관된 것으로 나타났습니다. 이 높은 비율은 클라우드 기반 마이닝이 단순히 합법적인 상업 활동이 아닌, 크립토재킹(cryptojacking), 손상된 리소스 및 기타 형태의 사이버 범죄와 깊이 연관되어 있음을 강조합니다. 논문은 또한 채굴 활동이 메타버스 관련 화폐적대적 인센티브의 진화를 나타냅니다.
4. Technical Framework & Mathematical Modeling
관찰된 선호적 연결(Preferential Attachment)은 수학적으로 모델링될 수 있습니다. $G(t)$를 시간 $t$에서의 네트워크 그래프라고 하며, 여기서 노드는 클라우드 제공자와 채굴 풀을 나타내고, 에지는 관찰된 연관 관계를 나타냅니다. 노드 $i$에 새로운 연결이 생성될 확률 $\Pi(k_i)$는 해당 노드의 현재 차수 $k_i$에 비례합니다:
$$
더 나아가, 클라우드 제공자 $c$에 대한 보안 위험 $R_c$는 그 연결 규모 $V_c$와 해당 연결들의 악성 비율 $M_c$의 함수로 개념화될 수 있다:
$$
5. Experimental Results & Charts
차트 1: Cloud Provider Association Share. 파이 차트나 막대 그래프는 분석을 시각적으로 압도하며, AWS와 GCP가 협회 점유율의 약 48%를 공동으로 보유하고 있음을 보여주고, 나머지 52%를 구성하는 다른 공급자들(Microsoft Azure, Alibaba Cloud, DigitalOcean 등)의 긴 꼬리가 뒤따르는 모습을 나타낼 것입니다.
차트 2: Degree Distribution Log-Log Plot. 핵심 실험 결과는 노드 차수 분포의 로그-로그 플롯입니다. 이 차트는 음의 기울기를 가진 직선을 보여주며, 멱법칙을 따르는 무거운 꼬리 분포 $P(k) \sim k^{-\gamma}$를 확인시켜 줍니다. 이 플롯은 작동 중인 선호적 연결 메커니즘의 직접적인 증거입니다.
차트 3: Malicious Endpoint Ratio per Top Provider. AWS와 GCP를 비교한 그룹 막대 그래프로, AWS 관련 엔드포인트의 약 35%, GCP 관련 엔드포인트의 약 30%가 악성으로 분류되어 보안 위험에 대한 정량적 측정치를 제공합니다.
6. 분석 프레임워크: 사례 연구
사례: 의심되는 Cryptojacking 작업 추적
1단계 - 시드(Seed) 식별: 위협 인텔리전스 피드(예: `malicious-miner-pool[.]xyz`)에서 알려진 악성 코인 채굴기 바이너리나 도메인으로 시작합니다.
Step 2 - pDNS 확장: 시드 도메인과 지난 6개월 동안 연관된 모든 IP 주소(`A` 레코드)에 대한 pDNS 데이터를 조회합니다.
Step 3 - 클라우드 속성 파악: 해결된 각 IP에 대해 WHOIS 조회 및 ASN 매핑을 수행합니다. 주요 CSP(예: AWS `us-east-1`)에 속하는 IP 범위를 필터링합니다.
4단계 - 그래프 구성: 데이터를 이분 그래프로 모델링합니다: 한 노드 집합은 마이닝 풀 도메인이고, 다른 집합은 CSP IP 블록입니다. 도메인이 해당 블록 내 IP로 확인된 경우 간선이 존재합니다.
Step 5 - Anomaly Detection & Risk Scoring:
- 볼륨 급증: 특정 CSP IP 블록이 수백 개의 새로운 일시적(ephemeral) 마이너 도메인을 갑자기 해석하는지 탐지합니다. 이는 대규모 자동화 배포의 신호입니다.
- 악성 상관관계: 발견된 모든 도메인을 VirusTotal API와 교차 참조합니다. 위험 점수를 계산합니다: $\text{점수} = \frac{\text{악성 도메인 수}}{\text{총 도메인 수}} \times \log(\text{고유 IP 총수})$.
- 시간적 분석: 제거 통보 후 채굴 활동이 하나의 CSP에서 다른 CSP로 이동하는지 관찰하여, 공격자의 회복 탄력성을 나타냅니다.
결과: 이 프레임워크는 단순히 개별적인 악성 인스턴스를 식별하는 것을 넘어, 클라우드 인프라 전반에 걸친 남용 패턴을 파악할 수 있어, CSP 보안 팀에게 특정 고위험 IP 블록에 대한 표적 경고를 가능하게 합니다.
7. Future Applications & Research Directions
CSP를 위한 사전 위협 헌팅: 클라우드 제공업체는 유사한 pDNS 분석을 내부 보안 운영 센터(SOC)에 통합하여 불법 채굴에 사용되는 리소스를 사전에 식별 및 정지시켜, 남용을 줄이고 합법적 고객을 위한 인프라를 보존할 수 있습니다.
2. 블록체인 분석 통합: 향후 연구는 온체인 거래 데이터와 클라우드 외부 IP 인텔리전스를 융합해야 합니다. 채굴 보상 주소와 클라우드 호스팅 풀 엔드포인트를 연관시킴으로써, 연구자들은 Chainalysis와 Elliptic에서 사용되는 기법과 유사하게, 크립토재킹 수익의 자금 흐름을 추적할 수 있을 것입니다.
3. AI 기반 행위 탐지: 머신 러닝 모델은 클라우드 인스턴스의 네트워크 및 자원 소비 패턴(CPU/GPU 부하, 알려진 풀에 대한 네트워크 트래픽)을 학습하여 하이퍼바이저 수준에서, 엔드포인트 탐지 및 대응(EDR) 도구가 작동하는 방식과 유사하게 실시간으로 채굴 멀웨어를 탐지하도록 훈련될 수 있습니다.
4. Policy & Regulatory Implications: 본 연구는 데이터 격차를 지적합니다. 금융행동특별작업반(FATF)의 프레임워크에서 제안된 바와 같이, 규제 기관은 불법 금융을 차단하고 생태계의 투명성을 개선하기 위해 클라우드 서비스 공급자(CSP)에게 암호화폐 채굴 트래픽에 대한 집계 지표를 재무 거래 보고서와 유사하게 보고하도록 요구하는 것을 고려할 수 있습니다.
5. 차세대 자산 연구: 언급된 바와 같이, 메타버스 통화로의 전환이 진행 중입니다. 향후 연구는 프라이버시 코인(예: Monero, Zcash) 및 가상 세계와 분산형 물리 인프라 네트워크(DePIN)와 연결된 새로운 작업 증명(PoW) 자산에 대한 채굴 풀 분석으로 확대되어야 합니다.
8. References
- Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
- Barabási, A. L., & Albert, R. (1999). Emergence of scaling in random networks. 과학, 286(5439), 509-512.
- Möser, M., et al. (2018). An Empirical Analysis of Traceability in the Monero Blockchain. Proceedings on Privacy Enhancing Technologies.
- Vasek, M., & Moore, T. (2015). There's no free lunch, even using Bitcoin: Tracking the popularity and profits of virtual currency scams. In Financial Cryptography and Data Security.
- Financial Action Task Force (FATF). (2021). 가상자산 및 가상자산 서비스 제공자에 대한 리스크 기반 접근법 업데이트 지침.
- Zhu, J. Y., et al. (2017). 사이클 일관적 적대 신경망을 이용한 비대응 이미지 간 변환. Proceedings of the IEEE International Conference on Computer Vision (ICCV). (도메인 간 매핑을 위한 방법론적 유사성에 대한 CycleGAN 참조).
- Cloud Security Alliance (CSA). (2022). Top Threats to Cloud Computing: The Egregious 11.
- VirusTotal. (n.d.). Google's VirusTotal API Documentation. Retrieved from https://developers.virustotal.com/
핵심 통찰
본 논문은 단순히 클라우드 내 암호화폐 채굴에 관한 것이 아니다. 이는 중앙 집중식이고 확장 가능하며 온디맨드 방식의 현대 컴퓨팅 아키텍처가 어떻게 악의적인 의도를 가지고, 탈중앙화되고 자원 집약적인 블록체인 경제를 부양하기 위해 도용되었는지를 적나라하게 폭로한다. 관찰된 활동의 거의 절반이 AWS와 Google Cloud를 통해 흐른다는 발견은 적대적 환경에서 '클라우드 중립성'이 신화에 불과하다는 가장 결정적인 증거이다. 주요 CSP들은 자의는 아니지만, 합법적 및 불법적 채굴 운영 모두에 불균형적으로 기반이 되고 있다. 이는 거대한 비대칭을 초래한다: 방어자는 방대하고 공유된 공격 표면을 보호해야 하는 반면, 공격자는 일시적인 클라우드 자원의 민첩성과 익명성을 누린다.
논리적 흐름
저자의 논리는 설득력 있고 방법론적으로 타당합니다. 그들은 확고한 전제, 즉 클라우드 도입과 암호화폐 확산의 수렴이 남용의 자연스러운 표적이 된다는 점에서 출발합니다. pDNS를 기초적인 렌즈로 사용한 것은 기발한 접근입니다. 이는 침습적인 엔드포인트 모니터링의 필요성을 우회하는 수동적이며 글로벌한 진실의 원천입니다. 단순한 연관성 계수에서 중후분포(heavy-tailed distribution) 식별로의 진행은 분석이 단순한 측정을 초월하는 지점입니다. Barabási-Albert 선호 연결 모델을 도입함으로써, 그들은 '무엇'에서 '왜'로 나아가 클라우드 마이닝 네트워크가 무작위적이지 않고 예측 가능하고 자기 강화적인 성장 패턴을 따른다고 주장합니다. 이는 소셜 네트워크나 월드 와이드 웹 자체가 진화한 방식과 유사합니다. VirusTotal을 통해 정량화된 보안 위험으로의 최종 도약은 추상적인 네트워크 모델을 구체적이고 실행 가능한 위협 인텔리전스로 다시 연결합니다.
Strengths & Flaws
장점: 이 논문의 주요 강점은 data-driven, empirical approach. 이는 추측을 피하고, 모든 주장을 관찰된 pDNS 데이터에 기반을 둡니다. 확립된 네트워크 과학 원칙(무척도 네트워크)의 사용은 상당한 이론적 근거를 더합니다. 초점은 메타버스 통화 는 선견지명이 있어, 이 연구가 비트코인 채굴과 같은 역사적 위협뿐만 아니라 적대적 혁신의 최첨단을 추적하고 있음을 보여줍니다.
치명적 결함: 그러나 이 분석에는 주목할 만한 맹점이 존재합니다. 첫째, 그것은 본질적으로 회고적(retrospective) 성격을 띱니다pDNS는 공격이 발생한 위치를 보여줍니다 있었던, 현재 위치가 아닌 있습니다 또는 될 것이다. 정교한 행위자가 fast-flux DNS 또는 직접 IP 연결을 사용하면 이를 회피할 수 있습니다. 둘째, 인과관계 주장이 약하다pDNS의 연관성만으로는 클라우드 인스턴스가 사용되었음을 증명하지 못한다 used for 마이닝; 이는 풀(pool)과 통신하는 정상 서비스일 수도 있고, 마이너 스크립트가 삽입된 해킹된 웹사이트일 수도 있습니다. 본 논문은 Zhu et al.의 CycleGAN과 같은 연구에서 사용된 기법—적대적 검증(adversarial validation)을 활용하여 합법적이고 악의적인 연관 패턴을 더 잘 구분하는 방법—을 적용하면 도움이 될 수 있습니다. 마지막으로, 경제적 동인이 충분히 탐구되지 않았음. 클라우드 인스턴스 비용과 암호화폐 수익률을 비교하는 간단한 모델은 공격자의 투자 수익률(ROI)을 강력하게 설명하고, 다음으로 어떤 클라우드 리전이나 인스턴스 유형이 표적이 될지 예측할 수 있을 것입니다.
실행 가능한 통찰(Actionable Insights)
CSP 보안팀을 위해: 구현 그래프 기반 이상 탐지 자체 내부 DNS 로그에서. 다양한 알려진 채굴 풀 도메인에 대한 빠르고 순차적인 해결을 보이는 인스턴스의 테넌트에 플래그 지정—이는 자동화된 배포 도구의 특징입니다. 가장 저렴한 컴퓨팅 리전(예: AWS 스팟 인스턴스)의 리소스 조사를 우선시하세요.
위협 인텔리전스 기업을 위해: 이를 통합하십시오 클라우드 귀속 계층 귀사의 크립토재킹 피드에 통합하십시오. 단순히 악성 도메인을 보고하는 데 그치지 말고, 특정 CSP의 IP 블록에서 호스팅되고 있음을 보고하여 직접 제공업체 채널을 통해 더 정확하고 빠른 차단이 가능하도록 하십시오.
For Regulators & Policymakers: Mandate 투명성 보고FATF의 VASP 여행 규칙(Travel Rule)에서 설정한 선례를 따라, 채굴을 암시하는 계산 자원 소비 패턴에 대한 집계된 익명화 지표를 대형 CSP가 보고하도록 요구하는 것을 고려하십시오. 이는 사용자 프라이버시를 침해하지 않으면서 문제에 대한 거시적 시각을 제공합니다.
결론적으로, Adeniran과 Mohaisen은 숨겨진 전장의 중요한 지도를 제공했습니다. 클라우드는 더 이상 단순한 유틸리티가 아닙니다; 그것은 암호화폐 전쟁에서의 전략적 자원입니다. 다음 연구 단계는 매핑에서 예측과 선제 조치로 이동해야 하며, 실시간 스트리밍 분석과 경제 모델링을 활용하여 이미 클라우드의 강점을 그 소유자에 맞서 사용하고 있는 적대자들보다 앞서 나가야 합니다.