웹사이트에 악성 코드 심어 윈도우 크리덴셜 빼앗는 행위 발견돼
메이지카트를 의심하는 시각 있었으나, 오늘 러시아의 드래곤플라이가 유력하게 지목돼

[보안뉴스 문가용 기자] 최근 미국의 샌프란시스코 국제공항에서 사이버 공격이 발생해 일부 고객 정보가 유출된 바 있다. 보안 업체 이셋(ESET)은 이 공격이 러시아 해커들의 소행이라고 주장했다.


지난 3월 누군가 샌프란시스코 국제공항이 운영하는 웹사이트 2개에 침투하는 데 성공했다. 공격자들은 사이트 방문자들의 윈도우 로그인 크리덴셜을 훔쳐내는 코드를 삽입했다. 문제의 사이트는 SFOConnect.com과 SFOConstruction.com으로, 공항과 관련된 여러 가지 소식을 전달하는 역할을 하고 있었다. 트래픽이 높지는 않았다.

악성 코드를 발견해 분석한 공항 측은 “공항 외부 네트워크로부터, 윈도우 기반 장비에 탑재된 인터넷 익스플로러 브라우저를 통해 접속한 사람들만 영향을 받았다”고 발표했다. 공항은 문제가 되는 사이트 두 개를 임시 폐쇄하고 코드 제거 작업을 실시했다. 또한 이메일과 네트워크 비밀번호를 전부 재설정했다고 발표했다.

일부 보안 전문가들은 발표 당시 이번 공격이 메이지카트(Magecart)의 수법과 닮았다고 주장하기도 했다. 하지만 이셋 측은 트위터를 통해 “윈도우 로그인 크리덴셜을 노리는 공격이며, 지불 카드 정보를 노리는 메이지카트와 근본적으로 다르다”고 반박했다.

“일각에서 메이지카트와의 연관성이 제기되었습니다만, 저희가 분석한 바에 의하면 이번 공항 공격과 메이지카트는 아무런 관련이 없습니다. 메이지카트는 사용자가 특정 웹사이트에 입력하는 크리덴셜을 노리는 악성 코드를 활용하는데 반해, 이번 공격자들은 윈도우 장비 자체에 로그인하기 위해 사용하는 크리덴셜을 노렸습니다.”

그러면서 이셋은 러시아의 APT 그룹인 드래곤플라이(Dragonfly)를 지목했다. 드래곤플라이는 크라우칭 예티(Crouching Yeti) 혹은 에너제틱 베어(Energetic Bear)라고도 불리며, 최소 2010년부터 활동을 해온 것으로 알려져 있다. 주로 미국과 유럽의 에너지 산업을 노려왔다.

“최근 발견된 공항 웹사이트 침해 사건은 드래곤플라이가 평소 사용해오던 공격 기법과 여러 가지 면에서 유사합니다. 윈도우 크리덴셜을 노렸다는 것도 그렇고 SMB 기능을 익스플로잇 했다는 것, file://이라는 프리픽스도 악용되었다는 것도 드래곤플라이를 암시하는 증거입니다.”

이번에 발견된 악성 코드도 드래곤플라이의 이전 공격과 마찬가지로 ‘file://’ 경로를 사용해 원격 서버로부터 이미지를 로딩하도록 유도하는데, 이 때 인터넷 익스플로러는 SMB 프로토콜을 사용하며, 이 때문에 피해자의 윈도우 로그인용 크리덴셜이 원격 서버로 전송된다. 사용자 이름과 해시 처리된 비밀번호가 여기에 포함된다.

최신 브라우저들은 대부분 이런 식의 공격을 막아주는 방어 장치를 가지고 있다. 그러나 인터넷 익스플로러들 중 오래된 버전들은 취약한 상태다. 이셋의 보안 전문가인 마티우 파오우(Matthieu Faou)는 4월 14일자 트윗을 통해 “이와 같은 사실을 샌프란시스코 공항 측에 알렸고, 공항 측은 곧바로 조치를 취했다”고 밝혔다.

3줄 요약
1. 얼마 전 샌프란시스코 국제공항 웹사이트에서 악성 코드 발견됨.
2. 윈도우용 크리덴셜 훔치는 코드로, 일각에서는 메이지카트를 지목하기도 했음.
3. 하지만 오늘 보안 업체 이셋이 러시아의 APT 그룹인 드래곤플라이를 지목.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>