해커들이 오픈소스 기반의 위키 플랫폼 XWiki와 산업용 자동화 소프트웨어 DELMIA 아프리소(DELMIA Apriso)의 보안 취약점을 악용해 모네로(XMR)를 무단 채굴한 정황이 포착됐다.

보안 분석업체 벌른체크(VulnCheck)에 따르면, XWiki의 ‘템플릿 시스템’에서 발견된 치명적인 취약점(CVE-2025-24893)을 통해 공격자들이 원격에서 악성 코드를 실행할 수 있는 것으로 드러났다. 공격 과정은 비교적 간단하다. 해커는 먼저 피해자의 컴퓨터에 ‘x640’이라는 작은 프로그램을 다운로드하고, 이후 명령을 보내 이 프로그램을 실행시킨다. 그러면 이 프로그램이 다시 ‘x521’과 ‘x522’라는 두 개의 추가 스크립트를 내려받아 모네로 채굴 도구 ‘tcrond’를 설치하고 가동시키는 방식이다. 특히 이 스크립트는 기존에 설치된 다른 채굴 프로그램을 강제로 종료하는 기능도 가지고 있어, 채굴 자원을 독점하려는 의도도 엿보인다.

채굴된 모네로는 c3pool.org라는 마이닝 풀을 통해 공격자의 지갑으로 전송된다. 이 채굴 풀은 익명성과 추적 회피 기능이 강점인 모네로 특성을 활용하는 데 널리 사용된다.

미 사이버 보안 당국인 CISA도 이번 공격에 대해 별도의 경고를 내놓은 상태다. 특히 DELMIA 아프리소에서도 유사한 방식의 원격 코드 실행 취약점이 발견되어, 기업용 시스템까지 광범위한 피해가 우려된다.

전문가들은 이 같은 ‘크립토재킹(cryptojacking, 타인의 컴퓨터에서 무단으로 암호화폐를 채굴하는 행위)’ 피해를 줄이기 위해 c3pool.org와 관련된 IP 접속을 차단하고, 네트워크 이상 접근을 지속적으로 모니터링할 것을 권고했다. 또한 시스템 내 ‘tcrond’와 관련된 파일이 탐지될 경우 즉시 삭제해야 한다고 덧붙였다.

한편 모네로는 거래 내역이 익명으로 처리돼 사이버 범죄자들이 주로 활용하는 대표 암호화폐로 알려져 있다. 이번 사례는 오픈소스 플랫폼의 취약점을 노린 전형적인 크립토재킹 공격 사례로, 사용자와 기업들의 각별한 보안 점검이 필요하다는 경각심을 다시 한 번 일깨우고 있다.