생각지도 못한 출장지 투숙 호텔을 통한 우회공격

치밀하고 집요한 공격, 흔적까지 깔끔하게 지워

[보안뉴스 문가용] 이제 기업의 사장쯤 되는 사람이면 개인적인 사이버 스파이가 한 명씩 붙는 시대가 되었다. 출장이나 휴가차 숙박한 호텔에까지 침투해서 필요한 정보를 긁어모으는 해커 단체가 발견된 것이다. 열 개가 훌쩍 넘는 아시아태평양 지역의 호텔 간 물리 네트워크 및 와이파이 네트워크에 침투하는 걸 전문으로 하는 이 그룹의 이름은 현재 다크호텔(Darkhotel) 혹은 타파우(Tapaoux)라고 알려져 있다. 그리고 놀랍게도 한국어를 모국어로 구사하고 있는 듯 보인다고 카스퍼스키는 보고하고 있다.

또한 이 공격의 대상이 된 조직의 90%는 일본, 대만, 중국, 러시아, 홍콩에 퍼져 있는 것으로 드러났고, 나머지 10%는 독일, 미국, 인도네시아, 인도, 아일랜드 등으로 구성되었다. 그중 공격이 가장 많이 향한 곳은 일본으로 25명 정도 되는 기업 총수가 뒤를 밟힌 것으로 밝혀졌다.

공격자들은 고도화된 타깃형 공격과 봇넷 유형 기술을 적절히 섞어 사용하는 듯 보인다. 이들은 호텔의 네트워크에 침입해 잠복해 있다가 자신들이 평소 노리고 있던 CEO, 부회장, 마케팅 책임자, 수석연구원 등의 타깃이 투숙하면 활동을 시작한다. 봇넷은 감시 및 디도스, 혹은 더 높은 수준의 멀웨어를 다운로드 받는 데에 사용된다. 이렇게 호텔 네트워크를 통한 우회 공격은 적어도 4년 전부터 존재해왔고 아직도 계속 진행되고 있다. 그런데 이게 다가 아니다.

“아태 지역의 호텔이 공격을 당해왔다는 건 앞에서 밝힌 바 있지요.” 카스퍼스키의 수석 연구원인 커트 봄가트너(Kurt Baumgartner)가 설명한다. 하지만 호텔의 이름이나 이번에 해킹을 당한 개개인의 이름은 밝히지 않았다. “수사를 더 해보면 결과가 추가로 나오겠지만, 높은 확률로 감염된 호텔이 더 나올 겁니다. 심지어 아태 지역 밖에서도 이들이 침투한 호텔이 나올 것이라고 봅니다.”

봄가트너는 이 해킹 단체가 주로 사용한 키로거를 분석한 결과 한국어를 모국어로 사용하는 개발자가 연관되어 있음이 드러났다고 한다. 또한 C&C 서버에서 발견된 데이터 역시 한국어로 되어 있다고 한다. “한국어를 주로 사용하는 사람이 이 팀에 섞여 있다고 봅니다. 전부일수도 있고 일부일수도 있습니다.” 그러나 정부가 개입되어 있다는 여부는 아직 판단할 수 없는 단계라고 덧붙이기도 했다.

또 한 가지 특이한 점은 한국인을 타깃으로 삼을 경우 공격자들이 멀웨어를 깨끗하게 지워냈다는 것이다. 만일의 경우 같은 한국인들까지 적으로 두고 싶지 않다는 심리적 요인으로 분석된다.

사실 이런 일이 있기 전에도 호텔 와이파이가 위험하다는 건 널리 알려진 사실이었다. 트렌드 마이크로(Trend Micro)의 최고 사이버 보안 책임자인 톰 켈러만(Tom Kellermann)은 호텔의 와이파이는 범죄자들과 스파이가 오랜 시간 물들여온 악명 높은 그들만의 아지트와 같다고 설명한다. “여행객들은 어느 호텔이건 일단 의심을 하고 보는 게 좋을 겁니다. 호텔 뿐 아니라 기차, 공항에서의 와이파이도 마찬가지입니다. 공공 와이파이 위험한 곳, 특히 이렇게 중요한 인물이 있을 만한 곳의 와이파이는 해커들에게 있어 기회의 땅이나 다름없습니다.”

크라우드스트라이크(CrowdStrike)에서도 어제 호텔 네트워크에 관한 보고서를 발행했다. 특별히 이번 15일과 16일 호주에서 열리는 G20 정상회담과 관련된 해킹 사고에 대한 내용이었다. 정상회담이 열리게 되면 당연히 개최도시와 부근에까지 호텔이 꽉꽉 차게 된다. 업무를 하려면 인터넷 사용이 거의 필수나 다름없게 될 것이고, 이는 호텔에서 제공하는 와이파이를 쓸 수밖에 없다는 뜻이 된다. 크라우드스트라이크의 아담 메이어스(Adam Meyers)는 소셜 엔지니어링, 어깨 넘어 훔쳐보기, 특정 와이파이 및 모바일 공격 등의 기법이 주로 활용될 것이라고 귀띔했다.

다크호텔은 사용자가 호텔이 제공하는 인터넷에 로그인했을 때 주로 어도비 플래시, 구글 툴바, 윈도우 메신저 업데이트를 감염시켜서 활동하는 것으로 드러났다. 만일 업데이트 파일을 호텔에서 다운로드 했다면 시스템에 백도어가 심긴다. 예를 들어 어도비 플래시 업데이트의 경우 디지털 서명까지 되어 있어 진짜와 구분하기가 매우 어렵다.

“공격자들은 복잡한 수학을 사용해 자신들의 빈약한(512 비트 키) 인증서에 서명을 했습니다. 굉장히 놀라웠습니다. 그리고 이제 그걸 가지고 진짜 인증기관의 진짜 인증서(2,048 비트)를 훔쳐내어, 그걸로 자신들이 만든 멀웨어에 서명을 하더군요.”

공격자들은 또한 카르바 트로이목마(Karba Trojan)도 정보 탈취 모듈과 함께 다운로드 받아 자신들의 겨냥한 대상인물의 시스템에 들어간다. 그래서 백신 소프트웨어, 캐시 브라우저, 이메일 암호 등의 민감한 정보를 사냥한다. 이때 공격자들은 한 대상을 단 한 번만 감염시키고 활동이 끝나면 흔적을 깨끗이 지우는 패턴을 보였다. 또한 정부, 국방, 비정부 단체의 수장 혹은 주요 인물들을 주로 노리는 것으로 드러났다.

“만만찮은 실력자들입니다. 조직력도 뛰어나고 방법도 놀랍습니다. 무엇을 노리고 있는지가 명확하고, 어떻게 노려야 할지도 잘 이해하고 있습니다. 그래서 딱 한 번만 공격해도 되는 것입니다.” 이 단체는 이전에 스피어피싱 공격 및 P2P 네트워크 감염을 통해 자신들이 노리는 인물이나 조직을 공격한 이력이 있다. 또한 이들은 C&C와의 통신을 180일이나 멈춰놓고 기다리기까지 했다. “시스템에 특정 파일이 있을 경우, 모듈이 C&C 서버와 통신을 스스로 180일 동안이나 차단하는 걸 발견했습니다.”

“여태까지 이런 식으로 공격을 연기시키는 걸 보아오긴 했지만 길어봐야 1주일이었습니다. 180일은 듣도 보도 못한 경우입니다. 아마 출장지에서 업무를 다보고 사무실로 돌아가 시스템 점검을 받고 다시 일상으로 복귀하는 시간을 전부 고려한 기간일 겁니다. 이들로서는 침입한 최초의 순간에 필요한 걸 대부분 탈취하기 때문에 오래 잠복해도 상관없는 것이기도 하고요.”

카스퍼스키는 VPN을 사용하거나 공공 와이파이 외에 다른 네트워크를 되도록 사용할 것을 권장한다. 그리고 어지간해서는 업데이트도 하지 말라고 권한다. 하지만 브로미움(Bromium)의 부회장인 이안 프랫(Ian Pratt)은 VPN 역시 위험하다고 한다. “대부분의 호텔 와이파이는 로그인을 해서 특정 포탈 페이지를 거쳐야 인터넷이 됩니다. 그런데 이런 호텔 와이파이를 노리는 공격자들은 로그인 페이지부터 악성 페이지로 대체하거든요. 그 순간에 게임오버죠. VPN은 오히려 상태를 악화시킬뿐입니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>