파이어아이, 호텔 업계 공격하는 ‘APT28’ 분석 보고서 발표

지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)가 러시아 기반 사이버 위협 그룹 ‘APT28’이 호텔 업계를 활발히 공격하고 있다고 발표했다. APT 28은 와이파이 트래픽에서 비밀번호를 알아내거나 넷바이오스(NetBIOS) 네임 서비스(Name Service)를 공격하고 이터널블루(Eternal Blue) 익스플로잇을 통해 공격을 확산시키는 등 여러 가지 눈에 띄는 기술을 사용하고 있다.

파이어아이는 7월 초, 7개의 유럽 국가와 하나의 중동 국가에 위치한 다수의 호텔 기업에 피싱 이메일로 전송 된 악의적 문서파일을 포착했다. 악의적 문서파일의 매크로가 성공적으로 실행되는 경우 APT28 대표적인 악성코드인 게임피쉬(GAMEFISH)가 설치된다.

APT28은 여행객들을 대상으로 악성코드를 네트워크에 확산시키기 위해 이터널블루 익스플로잇과 오픈소스 툴 리스폰더(Responder)등 새로운 기술을 사용하고 있다. APT28은 호텔의 네트워크에 침임 후 투숙객 및 호텔 내부 와이파이 네트워크를 제어하는 기기를 찾아낸다. 이번 공격을 받은 호텔에서는 고객 정보가 유출되지 않았지만 지난 2016년 가을에 있었던 공격의 경우, APT28이 호텔 와이파이 네트워크에서 유출된 것으로 보이는 개인 정보를 통해 피해자의 네트워크에 처음 접근한 것으로 밝혀졌다.

APT28은 기업 및 고객 와이파이 네트워크에 연결된 기기를 통해 리스폰더를 배포한다. 리스폰더는 넷바이오스 네임 서비스(NBT-NS) 공격을 용이하게 하는 역할을 맡는다. 이 기술은 네트워크 리소스와의 연결을 시도하기 위해 피해자의 컴퓨터에서 넷바이오스 네임 서비스를 살핀다. 그 후, 리스폰더는 발견된 네트워크 리소스로 위장하여 피해자의 컴퓨터가 아이디와 비밀번호를 공격자의 기기로 보내게 만든다.

앞서 언급 된 2016년 공격의 경우, 호텔 와이파이 네트워크와의 연결을 통해 피해자의 정보가 노출되었다. 피해자가 공공 와이파이 네트워크에 처음 접속한 지 12시간 만에 APT28은 유출 된 정보로 기기에 접속할 수 있었다. 이 12시간은 오프라인에서 비밀번호를 해제하는 데 쓰였을 것으로 예상된다. 성공적으로 기기에 접속한 뒤, 공격자는 기기에 툴을 배포하고 피해자의 네트워크를 이용해 침입을 확산시켰으며 피해자의 OWA 계정에 접근했다. 최초 로그인은 동일한 서브넷(subnet)에서 확인됐으며, 이는 공격자의 기기가 물리적으로 피해자와의 와이파이 네트워크와 가까이에 있었다는 것을 의미한다.

다크호텔(Darkhotel)로 알려진 해커 조직은 소프트웨어 업데이트로 가장해 아시아 지역 호텔 네트워크를 감염시켰다. 호텔 업계를 향한 사이버 스파이 행위는 운영 정보를 수집하는 데에 그 목적이 있다. 특히, 해외 출장 중 업무를 보는 경우에는 이러한 시스템을 사용하는 경우가 많아 위협에 노출될 확률이 더욱 높아진다.  

이러한 사건들은 APT28에 의해 이용되는 새로운 감염 경로를 보여준다. 다크호텔은 개인 정보를 훔치기 위해 불안정한 호텔 와이파이 네트워크를 활용하고, 공격자의 권한을 상승시키기 위해 넷바이오스 네임 서비스 공격 유틸리티를 이용한다. 다크호텔이 감염 경로를 확대하며 APT28의 광범위한 기술과 전략은 점점 더 정제되고 발전하고 있다. 공공 와이파이 네트워크는 심각한 위협을 안고 있으며, 가능한 한 사용을 피해야 한다.

[사진1] 호텔 예약 양식 예시

전수홍 파이어아이 코리아 지사장은 “APT28은 불안정한 호텔 와이파이 네트워크를 새로운 감염 매개로 이용하고 있다. 이로 인해, 피싱 이메일을 열거나 특정 웹사이트를 방문하지도 않았으며 단지 와이파이를 사용한 많은 호텔 투숙객들이 피해를 보았다”며  “여행객들은 해외 여행 중 발생 가능한 위협을 충분히 인식하고 데이터와 시스템 보안을 위해 추가적인 주의를 기울여야 한다. 또한, 사이버 공격이 더 정교해지고 발전됨에 따라 불안정한 와이파이 네트워크를 가진 호텔 업계는 반드시 적절한 보안 시스템을 도입해 네트워크 가시성과 함께 인텔리전스 보안 역량을 확보해야 한다.”고 말했다.