[데일리시큐]중국 해킹조직 ‘UNC6384’, 외교관 타깃 해킹 공격 확인…웹 접속만 해도 해킹

내용 요약

중국과 연계된 해킹 조직이 외교관을 대상으로 '가짜 소프트웨어 업데이트'를 이용한 스파이 공격을 감행했습니다. 이 공격은 일반적인 피싱을 넘어 웹 트래픽을 가로채는 방식으로, 호텔이나 공항 와이파이의 Captive Portal을 악용하여 가짜 로그인 화면으로 유도하는 방식으로 진행되었습니다.

핵심 포인트

• 공격 대상: 외교관
• 공격 방법: '가짜 소프트웨어 업데이트'를 이용한 스파이 공격
• 특징: 웹 트래픽 가로채기, Captive Portal 악용

기술 세부 내용

1️⃣ Captive Portal 악용

• Captive Portal 이란?
  • 호텔, 공항, 커피숍 등에서 공용 와이파이(Wi-Fi)를 사용할 때, 사용자가 인터넷에 접속하기 전에 보게 되는 웹 페이지입니다.
  • 보통 약관 동의, 로그인, 광고 시청 등의 절차를 거치도록 설계되어 있습니다.
  • 합법적인 Captive Portal은 사용자의 IP 주소, MAC 주소 등의 정보를 수집하여 네트워크 사용을 관리합니다.
• 공격 방식:
  • 해커는 공용 와이파이 환경에서 사용자가 인터넷 연결을 시도할 때 발생하는 웹 트래픽을 가로챕니다.
  • 사용자는 정상적인 Captive Portal 대신 해커가 만든 가짜 웹사이트로 리디렉션됩니다. ➡️️
  • 가짜 웹사이트는 진짜처럼 보이기 때문에 사용자는 의심 없이 개인 정보를 입력하거나 악성 소프트웨어를 다운로드할 수 있습니다. ⚠️
• 위험성:
  • 개인 정보 유출: 로그인 정보, 이메일 주소, 신용 카드 정보 등 민감한 정보가 해커에게 넘어갈 수 있습니다. ➡️
  • 악성 소프트웨어 감염: 가짜 업데이트 또는 프로그램 설치를 통해 사용자의 장치가 악성 소프트웨어에 감염될 수 있습니다.
  • 네트워크 트래픽 감시: 해커는 가로챈 트래픽을 통해 사용자의 웹 브라우징 기록, 소셜 미디어 활동 등을 감시할 수 있습니다. ️‍️
• 예방 방법:
  • VPN(Virtual Private Network) 사용: VPN을 사용하면 인터넷 트래픽이 암호화되어 해커가 중간에서 가로채더라도 내용을 확인할 수 없습니다. ️
  • HTTPS 사용 확인: 웹사이트 주소가 https://로 시작하는지 확인합니다. HTTPS는 웹사이트와 사용자 간의 통신을 암호화하여 데이터 유출을 방지합니다.
  • 의심스러운 Captive Portal 주의: Captive Portal의 디자인이 어색하거나 개인 정보를 과도하게 요구하는 경우 사용을 자제합니다.
  • 소프트웨어 최신 업데이트 유지: 운영체제, 브라우저, 앱 등의 소프트웨어를 최신 버전으로 유지하여 보안 취약점을 보완합니다.
  • 보안 소프트웨어 사용: 백신 프로그램, 방화벽 등을 설치하여 악성 소프트웨어 감염을 예방합니다. ️

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=169090