고급 호텔에 묶고 있는 주요 인사나 기업 경영진들이 사용하는 무선랜을 악용한 일명 '다크호텔' 공격이 발견되고 있어 주의가 필요하다.
15일 카스퍼스키랩은 장기간 호텔 외부에서 기밀정보를 추적하기 위해 이 방법이 수 년째 전 세계적으로 확산되고 있으며, 한국, 일본, 타이완, 중국, 러시아에서 90% 이상 피해자가 발생한 것으로 확인됐다고 밝혔다.
회사 업무차 호텔에 머무는 동안 노트북을 사용하기 위해 대부분 투숙객들은 무선랜을 통해 와이파이 네트워크에 접속한다. 대개 호텔은 와이파이 접속을 위해 투숙객의 이름, 객식번호를 요구한다. 공격자들은 이러한 점을 악용해 주요 경영진이 머물고 있는 호텔에 대한 사전정보를 파악한 뒤 해당 무선랜에 접속한 대상의 노트북에 백도어(뒷문)를 설치한다.
기업 경영진들이 호텔 와이파이 네트워크에 접속하면 구글 툴바, 어도비 플래시, 윈도 메신저 등 주요 소프트웨어 업데이트를 요구하는 가짜 팝업창이 뜬다. 이 팝업창에 확인을 누르면 백도어를 통해 공격 대상 노트북에 마음대로 접속할 수 있는 악성코드가 설치된다.
백도어는 공격대상이 키보드로 입력한 정보를 탈취하는 키로깅툴과 '카르바'라는 이름의 트로이목마 악성코드, 기타 정보 탈취를 위한 모듈로 구성된다. 이러한 툴은 공격 대상 노트북 시스템 관련 데이터, 악성코드 차단 소프트웨어 정보를 수집한다. 또한 인터넷익스플로러, 크롬, 파이어폭스에 저장된 암호 정보, 트위터, 페이스북, 야후, 구글 로그인 정보와 기타 개인정보를 수집한다.
카스퍼스키랩에 따르면 방위산업체, 정부기관, 대형 전자제품 제조사, 제약회사 등이 주요 공격대상이었던 것으로 조사됐다.
카스퍼스키측은 다크호텔 공격에 한국어를 암시하는 악성코드 흔적이 발견됐으나 아직 공격배후가 누구인지를 파악하기는 어려운 상황이라고 설명했다.
관련기사
- ATM서 몰래 돈 뽑는 신종해킹 등장2014.10.15
- 삼성전자, 30초 안에 해킹 차단 보안AP 출시2014.10.15
- BMW 등 커넥티드카 보안 취약점 경고2014.10.15
- 브라질 월드컵 노린 피싱 사기 급증2014.10.15
커트 바움가트너 카스퍼스키랩 수석 보안 연구원은 지난 7년 동안 다크호텔은 전형적인 사이버 범죄 행위를 넘어서는 방법, 기술을 악용해 수 많은 공격을 수행해 왔다며 공격자들의 인프라 운영능력을 갖추고 있고, 수 년 동안 이를 운영할 수 있는 충분한 자원을 확보하고 있다고 말했다.
이 공격을 차단하기 위해서는 공용 와이파이망에 접속할 때는 가상사설망(VPN)을 통해 접속하고, 발신지를 속인 피싱 이메일을 구분할 수 있는 방법을 파악해야 한다. 또한 최신 소프트웨어 버전을 유지하고, 파일공유프로그램(P2P)에서 다운로드 받은 실행파일을 함부로 클릭하면 안 된다. 이밖에 여행지에서는 소프트웨어 업데이트를 자제하고, 능동적인 방어기능을 갖춘 보안 솔루션을 설치할 필요가 있다고 카스퍼스키랩측은 당부했다.