“해커가 장악한 호텔 와이파이, 투숙객 피해 커진다”
[디지털데일리 최민지기자] 파이어아이(지사장 전수홍)는 러시아 기반 사이버 위협 그룹 ‘APT28’이 호텔 업계를 활발히 공격하고 있다고 16일 밝혔다.
파이어아이는 지난 달 7개의 유럽 국가와 하나의 중동 국가에 위치한 다수의 호텔 기업에 피싱 이메일로 전송 된 악의적 문서파일을 포착했다. 악의적 문서파일의 매크로가 성공적으로 실행되는 경우 APT28 대표적인 악성코드인 게임피쉬(GAMEFISH)가 설치된다.
APT28은 여행객들을 대상으로 악성코드를 네트워크에 확산시키기 위해 이터널블루 익스플로잇과 오픈소스 툴 리스폰더(Responder)등 새로운 기술을 사용했다. 호텔 네트워크에 침임 후 투숙객 및 호텔 내부 와이파이 네트워크를 제어하는 기기를 찾아내는 것.
이번 공격을 받은 호텔에서는 고객 정보가 유출되지 않았지만 지난해 가을에 있었던 공격의 경우, APT28이 호텔 와이파이 네트워크에서 유출된 것으로 보이는 개인정보를 통해 피해자의 네트워크에 처음 접근한 것으로 밝혀졌다.
APT28은 기업 및 고객 와이파이 네트워크에 연결된 기기를 통해 리스폰더를 배포한다. 리스폰더는 넷바이오스 네임 서비스(NBT-NS) 공격을 용이하게 하는 역할을 맡는다. 리스폰더는 발견된 네트워크 리소스로 위장해 피해자 컴퓨터가 아이디와 비밀번호를 공격자의 기기로 보내게 만든다.
지난해 공격의 경우, 호텔 와이파이 네트워크와의 연결을 통해 피해자의 정보가 노출됐다. 피해자가 공공 와이파이 네트워크에 처음 접속한 지 12시간 만에 APT28은 유출된 정보로 기기에 접속할 수 있었다. 12시간은 오프라인에서 비밀번호를 해제하는 데 쓰였을 것으로 예상된다. 이후 공격자는 기기에 툴을 배포하고 피해자 네트워크를 이용해 침입을 확산시켰다.
다크호텔(Darkhotel)로 알려진 해커 조직은 소프트웨어 업데이트로 가장해 아시아 지역 호텔 네트워크를 감염시켰다. 호텔업계를 향한 사이버 스파이 행위는 운영 정보를 수집하는 데 목적이 있다. 해외 출장 중 업무를 보는 경우에는 이러한 시스템을 사용하는 경우가 많아 위협에 노출될 확률은 더욱 높아진다.
이러한 사건들은 APT28에 의해 이용되는 새로운 감염 경로를 보여준다. 다크호텔은 개인 정보를 훔치기 위해 불안정한 호텔 와이파이 네트워크를 활용하고, 공격자의 권한을 상승시키기 위해 넷바이오스 네임 서비스 공격 유틸리티를 이용한다.
파이어아이는 다크호텔이 감염 경로를 확대하며 APT28의 광범위한 기술과 전략은 점점 더 정제되고 발전하고 있다고 설명했다. 공공 와이파이 네트워크는 심각한 위협을 안고 있으며, 가능한 사용을 피해야 한다는 조언도 덧붙였다.
전수홍 파이어아이코리아 지사장은 “APT28은 불안정한 호텔 와이파이 네트워크를 새로운 감염 매개로 이용하고 있다”며 “이로 인해 피싱 이메일을 열거나 특정 웹사이트를 방문하지도 않았으며 단지 와이파이를 사용한 많은 호텔 투숙객들이 피해를 봤다”고 말했다.
이어 “여행객들은 해외여행 중 발생 가능한 위협을 충분히 인식하고 데이터와 시스템 보안을 위해 추가적인 주의를 기울여야 한다”며 “불안정한 와이파이 네트워크를 가진 호텔 업계는 반드시 적절한 보안 시스템을 도입해 네트워크 가시성과 함께 인텔리전스 보안 역량을 확보해야 한다”고 강조했다.
<최민지 기자>cmj@ddaily.co.kr
[2024 IT혁신상품] AI 협업부터 비정형데이터 보호까지…지란지교그룹 '각개약진'
2024-12-19 18:33:01비트코인, 1억5000만원대 유지…RWA NOVA 코인, 비트마트에 신규 상장
2024-12-19 18:06:07'계엄군 점거' 서버 살펴본 선관위 보안자문위…"침입 흔적 없다"
2024-12-19 17:56:25[현장] 티빙·웨이브 합병 두고 CEO별 온도차…"주주 동의 필요 vs 無 관여"
2024-12-19 17:13:57[DD퇴근길] 갈길 먼 AI 기본법…바디프랜드, '가구' 선보인 이유는
2024-12-19 16:52:18