한국·일본·대만·중국·러시아서 다크호텔 공격 감염자 90% 발생
[보안뉴스 김지언] 호텔에 투숙하는 비즈니스 여행객들을 대상으로 한 공격이 발생해 주의가 요구되고 있다.
 


이와 관련 카스퍼스키랩(지사장 이창훈)은 아시아의 고급호텔에 머물고 있는 특정 기업 경영진들을 대상으로 한 ‘다크호텔’ 스파이 공격이 자행되고 있다고 밝혔다.

이 공격은 장기간 호텔 외부에서 기밀 정보를 추적할 수 있는 진화된 수법으로 수많은 기기를 통해 지난 수 년 동안 전세계적으로 확산됐다. 이에 한국, 일본, 대만, 중국, 러시아에서 90% 이상의 피해자가 발생한 것으로 나타났다. 그 외 발생 국가로는 독일, 미국, 인도네시아, 아일랜드가 있다.

일반적으로 비즈니스 여행객들은 출장을 가서 호텔에 머무는 동안 와이파이 네트워크에 접속하기 위해 이름과 객실 번호를 입력한다. 이 점을 악용해 공격자들이 공격대상을 식별하고, 민감한 정보를 탈취하는 백도어 설치를 유도하는 수법을 사용했다.

기업 경영진들이 호텔 와이파이(Wi-Fi) 네트워크에 접속하면 구글 툴바, 어도비 플래시, 윈도우 메신저 등 유명 소프트웨어 업데이트를 요구하는 가짜 팝업 창이 나타난다. 기업 경영진들이 이를 설치하면, 다크호텔 지능형 지속공격(APT)용 백도어 악성코드가 설치된다.

백도어는 디지털 서명이 된 고급 키로거 프로그램과 일명 ‘카르바(Karba)’ 트로이목마 및 기타 정보 탈취 모듈로 구성된 툴 세트다. 이들 툴을 사용해 시스템과 관련된 각종 데이터와 악성코드 차단 소프트웨어 정보를 수집하며, 파이어폭스, 크롬 및 인터넷 익스플로러에 저장된 암호 정보, 지메일 알리미, 트위터, 페이스북, 야후, 구글 로그인 정보 및 기타 개인 정보를 추적한다.

이렇듯 이번 ‘다크호텔’ 공격은 매우 정확하게 목표를 선별할 수 있어 피해자가 높은 수준의 보안 위험에 처할 수 있다.

카스퍼스키랩 전문가들은 방위·산업 업체, 정부기관, 대규모 전자제품 제조업체, 제약회사 등 가치있는 정보를 지닌 기업을 목표로 한 동일 공격자에 의해 진행된 사건을 조사했다. 이 공격들은 완벽하게 위장된 다크호텔 공격과 함께 전형적인 스피어 피싱으로 이뤄졌다. 이메일-미끼(Email-lure) 콘텐츠는 흔히 핵 에너지와 무기 기능과 같은 주제를 포함한다. 지난 수년 동안 스피어피싱 이메일은 어도비의 제로데이 익스플로잇을 첨부하거나 인터넷 익스플로러 제로데이 익스플로잇으로 공격 대상을 유도하는 웹사이트 링크를 걸었다.

공격자는 한 번에 수 많은 파일 배포가 가능한 토렌트 P2P 공유 네트워크를 통해 애니메이션 포르노 동영상으로 위장한 악성코드를 널리 배포한다. 일부 호텔 비즈니스 센터 사용자들은 이와 같은 토렌트 등의 여러 배포 수법에 쉽게 걸려드는 것으로 나타났다. 일단 배포된 백도어를 통해 피해자의 중요도를 확인한 후 추가적인 공격 툴을 다운로드하도록 하며, 이를 통해 공격자들이 가치 있는 정보에 접근할 수 있도록 지원한다. 

커트 바움가트너(Kurt Baumgartner) 카스퍼스키랩 수석 보안연구원은 “지난 7년 동안 다크호텔로 명명된 강력한 공격자는 전형적인 사이버 범죄 행위를 넘어서는 방법과 기술을 사용해 전 세계를 대상으로 수 많은 공격을 성공적으로 진행해왔다. 다크호텔은 인프라 운영능력과 수학적이며 암호화된 강력한 기능을 갖추고 고 신뢰 가능한 상용 네트워크를 통해 악용하고 전략적으로 특정 피해자를 분류할 수 있는 충분한 여러 자원들을 보유하고 있다. 또한, 공격자는 수년 동안 이를 운영할 자원이 있고, 필요 시 제로데이 공격을 사용한다”고 말했다.

다크호텔의 악위적인 행위는 고도의 타깃 공격인 동시에 악성코드의 무분별한 확산이다. 그 예로, APT 공격자은 카르바 트로이목마 바이러스를 .rar 압축 파일의 일부로 비트토렌토(BitTorrent)를 통해 대량으로 퍼뜨린다. 또한, 저비용의 인프라로 제로데이 공격과 고급 키로거가 포함된 잘 개발된 툴을 지원한다.

커트 바움가트너 수석 보안 연구원은 “우리는 장기간 계속돼 온 APT와 수 많은 보고되지 않은 공격들이 일상적으로 발생되는 것을 보아 왔다”며 “이러한 타깃화되고 무분별한 두 공격의 결합은 보다 일반적인 APT 모습이 될 것”이라고 덧붙였다.

다크호텔 공격을 차단하기 위해서는 먼저 호텔 또는 비즈니스 센터에서 공용 네트워크를 사용하는 것이 잠재적으로 위험한 행동임을 인지해야 한다. 다크호텔 사례는 공격 수법의 진화를 보여주는 사례로 가치 있는 정보를 지닌 개인은 다크호텔 공격과 유사한 위험에 쉽게 빠질 수 있다.

이에 공용 와이파이 인터넷에 접속할 시에는  신뢰하는 VPN에 연결하고, 발신지 속임 등 피싱 이메일 공격을 구별하는 방법에 대해 교육받아야 한다. 또 모든 소프트웨어를 최신 버전으로 업데이트하고 P2P 네트워크에서 다운받은 실행파일은 함부로 클릭하지 않는 것이 좋다. 이외에도 여행지에서는 소프트웨어 업데이트를 자제하고 기본 악성코드 차단 기능은 물론 능동적인 방어 기능을 제공하는 높은 품질의 인터넷 보안 소프트웨어를 설치해야 한다.

보다 자세한 다크호텔 APT 관련 보고서는 홈페이지(Securelist.com)에서 확인할 수 있다.
[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>