“해커가 장악한 호텔 와이파이, 투숙객 피해 커진다”
[디지털데일리 최민지기자] 파이어아이(지사장 전수홍)는 러시아 기반 사이버 위협 그룹 ‘APT28’이 호텔 업계를 활발히 공격하고 있다고 16일 밝혔다.
파이어아이는 지난 달 7개의 유럽 국가와 하나의 중동 국가에 위치한 다수의 호텔 기업에 피싱 이메일로 전송 된 악의적 문서파일을 포착했다. 악의적 문서파일의 매크로가 성공적으로 실행되는 경우 APT28 대표적인 악성코드인 게임피쉬(GAMEFISH)가 설치된다.
APT28은 여행객들을 대상으로 악성코드를 네트워크에 확산시키기 위해 이터널블루 익스플로잇과 오픈소스 툴 리스폰더(Responder)등 새로운 기술을 사용했다. 호텔 네트워크에 침임 후 투숙객 및 호텔 내부 와이파이 네트워크를 제어하는 기기를 찾아내는 것.
이번 공격을 받은 호텔에서는 고객 정보가 유출되지 않았지만 지난해 가을에 있었던 공격의 경우, APT28이 호텔 와이파이 네트워크에서 유출된 것으로 보이는 개인정보를 통해 피해자의 네트워크에 처음 접근한 것으로 밝혀졌다.
APT28은 기업 및 고객 와이파이 네트워크에 연결된 기기를 통해 리스폰더를 배포한다. 리스폰더는 넷바이오스 네임 서비스(NBT-NS) 공격을 용이하게 하는 역할을 맡는다. 리스폰더는 발견된 네트워크 리소스로 위장해 피해자 컴퓨터가 아이디와 비밀번호를 공격자의 기기로 보내게 만든다.
지난해 공격의 경우, 호텔 와이파이 네트워크와의 연결을 통해 피해자의 정보가 노출됐다. 피해자가 공공 와이파이 네트워크에 처음 접속한 지 12시간 만에 APT28은 유출된 정보로 기기에 접속할 수 있었다. 12시간은 오프라인에서 비밀번호를 해제하는 데 쓰였을 것으로 예상된다. 이후 공격자는 기기에 툴을 배포하고 피해자 네트워크를 이용해 침입을 확산시켰다.
다크호텔(Darkhotel)로 알려진 해커 조직은 소프트웨어 업데이트로 가장해 아시아 지역 호텔 네트워크를 감염시켰다. 호텔업계를 향한 사이버 스파이 행위는 운영 정보를 수집하는 데 목적이 있다. 해외 출장 중 업무를 보는 경우에는 이러한 시스템을 사용하는 경우가 많아 위협에 노출될 확률은 더욱 높아진다.
이러한 사건들은 APT28에 의해 이용되는 새로운 감염 경로를 보여준다. 다크호텔은 개인 정보를 훔치기 위해 불안정한 호텔 와이파이 네트워크를 활용하고, 공격자의 권한을 상승시키기 위해 넷바이오스 네임 서비스 공격 유틸리티를 이용한다.
파이어아이는 다크호텔이 감염 경로를 확대하며 APT28의 광범위한 기술과 전략은 점점 더 정제되고 발전하고 있다고 설명했다. 공공 와이파이 네트워크는 심각한 위협을 안고 있으며, 가능한 사용을 피해야 한다는 조언도 덧붙였다.
전수홍 파이어아이코리아 지사장은 “APT28은 불안정한 호텔 와이파이 네트워크를 새로운 감염 매개로 이용하고 있다”며 “이로 인해 피싱 이메일을 열거나 특정 웹사이트를 방문하지도 않았으며 단지 와이파이를 사용한 많은 호텔 투숙객들이 피해를 봤다”고 말했다.
이어 “여행객들은 해외여행 중 발생 가능한 위협을 충분히 인식하고 데이터와 시스템 보안을 위해 추가적인 주의를 기울여야 한다”며 “불안정한 와이파이 네트워크를 가진 호텔 업계는 반드시 적절한 보안 시스템을 도입해 네트워크 가시성과 함께 인텔리전스 보안 역량을 확보해야 한다”고 강조했다.
<최민지 기자>cmj@ddaily.co.kr
[尹정부 ICT점검] ‘디지털정부 1위’ 성과 이면에 장애대응·격차해소 과제로
2024-11-16 10:39:44임종훈 대표, 한미사이언스 주식 105만주 매각… 상속세 납부 목적, 이면에 불가피한 속사정?
2024-11-15 18:04:20최윤범 고려아연 회장 “이사회 의장직 내려놓겠다”… 삼성∙보잉 사례 참고했나
2024-11-15 17:19:23[DD퇴근길] 네이버 밴드, 美 MAU 600만 돌파…IT서비스업계, 연말인사 포인트는
2024-11-15 16:53:04비트코인이 불지른 가상화폐 ‘불장’… 금융당국, '이상거래' 모니터링 강화
2024-11-15 16:20:20