침해사고/위협동향

카스퍼스키랩, ‘다크호텔 APT’ 공격 경고

이민형

[디지털데일리 이민형기자] 카스퍼스키랩(www.kaspersky.co.kr 지사장 이창훈)은 아시아의 고급호텔에 머물고 있는 특정 기업 경영진들을 대상으로 한 ‘다크호텔’ 스파이 공격이 자행되고 있다고 15일 밝혔다.

이 공격은 장기간 호텔 외부에서 기밀 정보를 추적할 수 있는 수법으로 수많은 기기를 통해 지난 수 년 동안 전세계적으로 확산됐다. 특히 한국, 일본, 대만, 중국 및 러시아에서 90% 이상의 피해자가 발생한 것으로 나타났으며 독일, 미국, 인도네시아 및 아일랜드에서도 피해가 보고되고 있다.
 
일반적으로 비즈니스 여행객들은 출장을 가서 호텔에 머무는 동안 무선랜(와이파이, Wi-Fi)에 접속하기 위해 이름과 객실 번호를 입력한다. 이 점을 악용해 공격자들이 공격 대상을 식별하고, 민감한 정보를 탈취하는 백도어의 설치를 유도하는 수법을 사용했다.

공격자들은 호텔의 네트워크 시스템을 직접 해킹해 중간자공격(MITM)을 감행하거나 로그(Rogue) 액세스포인트(AP)를 운용해 사용자 정보를 탈취하는 것으로 조사됐다.

공격자들은 기업 경영진들이 호텔 와이파이 네트워크에 접속하면 구글 툴바, 어도비 플래시, 윈도 메신저 등의 소프트웨어의 업데이트를 요구하는 가짜 팝업 창을 노출시킨다. 이 때 기업 경영진들이 이를 설치하면, 다크호텔 백도어 악성 코드가 설치된다.

백도어는 키로거, 트로이목마, 정보 탈취 모듈로 구성된 툴 세트이다. 이들은 툴을 사용해 시스템과 관련된 각종 데이터와 악성코드 차단 소프트웨어 정보를 수집하며, 파이어폭스, 크롬 및 인터넷익스플로러에 저장된 암호 정보, 지메일 알리미, 트위터, 페이스북, 야후 및 구글 로그인 정보 및 기타 개인 정보를 추적한다.

카스퍼스키랩은 다크호텔 백도어를 분석한 결과 한국어를 구사하는 공격자의 흔적이 발견됐으나 이를 통해 공격 배후가 누구인지 정의하기는 어렵다고 설명했다.

커트 바움가트너(Kurt Baumgartner) 카스퍼스키랩 수석 보안 연구원은 “다크호텔은 인프라 운영 능력과 수학적이며 암호화된 강력한 기능을 갖추고 있으며, 신뢰 가능한 상용 네트워크를 악용하고 전략적으로 특정 피해자를 분류할 수 있는 충분한 여러 자원들을 보유하고 있다. 또한, 공격자는 수 년 동안 이를 운영할 자원이 있고, 필요 시 제로데이 공격을 사용한다”고 말했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널