한국발로 의심되는 스파이 단체, 부지런히 업그레이드 진행
“최소 이들 정도로 부지런해지지 않으면 뚫리는 게 당연”

[보안뉴스 문가용] 다크호텔(Darkhotel)이라는 사이버 스파이 단체가 목적을 달성하기 위한 수단을 계속해서 늘려가고 있다는 소식이 ISEC 2015 참석 차 한국 방문 예정 중인 카스퍼스키 랩에서부터 나왔다. 특히 최근 해킹팀 사고로 공개된 각종 제로데이 취약점을 장착했다고 한다.
 


다크호텔이란 고급호텔의 와이파이 네트워크를 통해 고위 관리직이나 대기업 운영진들을 주로 노리는 해커단체로 제로데이와 하프데이 취약점 익스플로잇을 주요 수단으로 삼아왔다. 카스퍼스키 랩에 따르면 다크호텔 역시 최근 몇 년간 어도비 플래시 관련 취약점 공략에 집중해왔고 투자도 제법 해왔다. “그런 그들이 해킹팀 사태에 흘러나온 400GB의 귀중한 데이터를 놓칠 리가 없죠.”

한동안 잠잠해왔던 다크호텔이 해킹팀 사건 발발 직후 모습을 드러냈다는 것이 첫 번째 증거다. “웹 사이트 하나를 해킹해 거기에 어도비 플래시 플레이어 익스플로잇을 설치해놨더군요. 그리고 그 익스플로잇이 바로 해킹팀 유출 자료로부터 힌트를 얻은 것이 분명해보입니다.” 카스퍼스키의 수석 보안분석가인 커트 봄가트너(Kurt Baumgartner)의 설명이다.

“이전의 다크호텔은 다른 플래시 익스플로잇을 사용했었어요. 저희도 다 알고 있는 내용들이었죠. 그런데 그 공격방식이 보다 다양해지기 시작했습니다. 더 많은 제로데이 및 하프데이 취약점 익스플로잇을 활발히 수집해왔다는 게 확연히 보일 정도였습니다.”

다크호텔은 우리에게 좀 더 남다른 의미로 다가오는데, 바로 한국의 해킹단체라는 정황이 여러 차례 드러났기 때문이다. 이들이 노리는 표적은 90% 일본, 대만, 중국, 러시아, 홍콩의 VIP들인데, 최근엔 북한, 남한, 러시아, 방글라데시, 태국, 인도, 모잠비크, 독일로까지 범위를 확대했다고 한다. 또한 봄가트너에 의하면 다크호텔은 최초 공격에 소셜 엔지니어링을 가장 많이 활용한다고 한다.

“다크호텔은 특정 표적을 대상으로 끊임없는 스피어피싱 공격을 감행합니다. 성공할 때까지 하는 거기도 하지만, 한번 당한 표적을 계속해서 공격하고 또 공격하기도 합니다. 당한 사람이 같은 방법으로 계속해서 당하는 것도 쉽게 볼 수 있는 장면입니다.” 다크호텔은 예를 들어 가짜 국제회의 스케줄 관련 이메일을 표적에게 보냈다면, 어느 정도 기간이 지난 후 ‘리마인드 편지’를 보내고 실제 그 가짜 날짜에 맞춰 여러 가지 부속 행사 안내 메일도 보낸다고 한다. 그만큼 치밀하고 꼼꼼하게 움직이는 것.

또한 다크호텔은 인증서를 주기적으로 훔쳐서 저장하고 있다고도 한다. 이는 탐지 기능을 우회하기 위한 대비책 중 하나라고 카스퍼스키는 분석하고 있다. “현재 다크호텔은 암호화 층 뒤로 코드를 교묘하게 감추고 있습니다. 공격 방식이 좀 더 발전했다고 보는 증거 중 하나입니다. 이는 또한 발전하고 있는 보안 기술들을 뚫어내기 위해 이들이 스스로를 발전시킨 것이라고 봅니다. 인증서를 계속 훔쳐서 관리하는 것만 봐도 이들이 정말 ‘전문가’스럽다는 걸 알 수 있죠.”

최소 이들만큼 부지런해지지 않으면 보안이 당연히 질 수밖에 없을 것이라는 봄가트너는 “이미 이들은 우회능력, 탐지 회피 능력, 침투 능력 등이 상당히 발전했”다며 “다음엔 어떤 공격으로 호텔의 허점을 찌를 지 전혀 예상이 불가능할 정도”라고 말을 맺었다.
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>