[데일리시큐]중국 해킹조직 ‘UNC6384’, 외교관 타깃 해킹 공격 확인…웹 접속만 해도 해킹

내용 요약

중국과 연계된 해킹조직이 외교관들을 대상으로 한 정교한 스파이 공격을 수행했다. 이 공격은 일반적인 피싱을 넘어, 인터넷 접속 과정에서 발생하는 웹 트래픽을 가로채는 방식으로 진행됐다. 공격자는 호텔이나 공항의 와이파이 연결 시 나타나는 캡티브 포털(Captive Portal) 기능을 악용해 사용자의 인터넷 연결을 중간에서 끊고, 실제 로그인 화면 대신 해커가 만든 가짜 사이트로 리디렉션했다. 이 웹사이트는 사용자의 개인 정보를 수집하거나 악성 소프트웨어를 배포하는 데 사용됐다. 구글 위협 인텔리전스 그룹(GTIG)은 이 공격이 단순한 피싱이 아닌, MITM(Man-in-the-Middle) 공격을 기반으로 한 고도화된 기술적 접근임을 강조했다.

---

핵심 포인트

• 캡티브 포털 활용: 사용자가 와이파이 접속 시 자동으로 표시되는 로그인 화면을 해킹 조직이 조작해 가짜 사이트로 리디렉션.
• MITM 공격: 인터넷 트래픽을 중간에서 가로채고, 데이터를 해독하거나 악성 코드를 삽입하는 기법.
• 가짜 소프트웨어 업데이트: 사용자에게 업데이트를 요청해 악성 프로그램을 설치하는 방법.
• GTIG의 분석: 이 공격은 단순한 피싱을 넘어, 네트워크 수준에서의 취약점을 악용한 고도화된 기술적 위협.
• 대상: 외교관 및 고위급 인물이 주요 타겟으로, 정보 유출 및 스파이 활동 가능성.

---

기술 세부 내용

1️⃣ 캡티브 포털의 위협

캡티브 포털(Captive Portal)은 사용자가 특정 네트워크에 접속할 때 자동으로 표시되는 인증 화면으로, 일반적으로 호텔, 공항, 공공 장소 등에서 사용된다. 이 기능은 사용자가 인터넷을 사용하기 전에 로그인을 요구함으로써 네트워크 관리자의 통제 아래 사용자를 관리하는 역할을 한다.

하지만 해킹 조직은 이 기능을 악용해 사용자를 조작하는 공격을 수행했다. 사용자가 와이파이 접속 시 캡티브 포털 화면을 보게 되면, 해커는 이 화면을 가짜 사이트로 교체하고, 사용자가 이를 통해 인터넷에 접속하게 만든다. 이 과정에서 사용자의 트래픽이 해커의 서버로 중간에 가로채짐.

이러한 공격은 사용자가 실제 인터넷 접속을 시도할 때까지 해커가 허가를 받지 않은 상태에서 네트워크를 감시할 수 있는 기회를 제공한다. 사용자는 이 과정에서 개인 정보, 로그인 자격 증명, 혹은 악성 코드가 포함된 웹사이트로 이동하게 되며, 이로 인해 데이터 유출이나 악성 소프트웨어 설치가 가능해진다.

캡티브 포털을 악용한 공격은 사용자에게 직접적인 위협을 가하며, 특히 외교관이나 고위급 인물이 자주 방문하는 장소에서 발생할 경우 정치적/군사적 위험을 초래할 수 있다.

---

2️⃣ MITM 공격의 기술적 메커니즘

MITM(Man-in-the-Middle) 공격은 네트워크 중간에서 통신을 가로채는 기법으로, 해커가 두 당사자 간의 데이터를 보기, 수정, 또는 조작할 수 있다. 이 공격은 네트워크 구성, 자원 공유, 암호화 미비 등 다양한 방식으로 가능하며, 특히 무선 네트워크(Wi-Fi)에서는 쉽게 발생할 수 있다.

이 공격의 핵심은 사용자에게 공격이 일어나고 있다는 인식이 없도록 하는 것이다. 해커는 사용자의 인터넷 트래픽을 가로채고, 암호화되지 않은 데이터를 해독하거나, 악성 코드를 삽입할 수 있다. 예를 들어, 사용자가 은행 웹사이트에 접속할 때, 해커는 이 사이트를 가짜 사이트로 대체하고, 사용자의 은행 계좌 정보를 탈취할 수 있다.

MITM 공격은 HTTPS 암호화에도 취약할 수 있다. 해커는 공개키 인증서(SSL/TLS)를 위조해 사용자에게 가짜 인증서를 제공함으로써, 암호화된 데이터를 가로채고 암호화를 해제해 내용을 확인할 수 있다. 이는 SSL Stripping이라는 기법으로, HTTPS 접속이 아닌 HTTP 접속을 강제해 암호화를 무력화한다.

이러한 MITM 공격은 캡티브 포털을 활용한 공격에서 특히 두드러진다. 사용자가 로그인 화면을 통해 접속할 때, 해커는 이 화면을 가짜로 교체해 사용자의 트래픽을 가로채고, 악성 코드나 데이터를 삽입할 수 있다.

---

3️⃣ 가짜 소프트웨어 업데이트의 위험성

해킹 조직은 사용자에게 가짜 소프트웨어 업데이트를 요청해 악성 프로그램을 배포하는 방법을 사용했다. 이는 피싱과 유사한 기법이지만, 소프트웨어 설치를 통해 장기적인 위협을 가질 수 있다.

가짜 소프트웨어 업데이트는 사용자에게 업데이트가 필요하다는 알림을 보여주고, 이에 따라 사용자가 다운로드 또는 설치를 시도하게 만든다. 이 과정에서 악성 파일이 실행되며, 시스템에 바이러스, 트로이 목마, Ransomware 등이 설치된다.

이러한 공격은 소프트웨어 업데이트의 신뢰성을 약화시키며, 사용자는 업데이트를 실행할 때까지 해커의 위협에 노출된다. 특히 정부 기관이나 외교관이 주요 타겟일 경우, 정치적 정보나 민감한 데이터가 유출될 위험이 크다.

가짜 소프트웨어 업데이트는 악성 코드 배포에만 그치지 않고, 시스템에 지속적인 악성 프로그램을 설치해 장기적인 위협을 제공한다. 예를 들어, 해커는 사용자의 시스템에 랜섬웨어를 설치해 데이터를 암호화하고, 결제 요구를 하거나, 사용자 데이터를 지속적으로 모니터링할 수 있다.

---

4️⃣ GTIG의 분석과 공격의 위험성

구글 위협 인텔리전스 그룹(GTIG)은 이 공격을 단순한 피싱이 아닌, 네트워크 수준에서의 취약점을 악용한 고도화된 기술적 공격으로 분석했다. GTIG는 이 공격이 정치적 목적을 가진 스파이 활동일 수 있다고 지적하며, 국가적 위협으로 분류했다.

GTIG의 분석에 따르면, 이 공격은 사용자의 인터넷 접속 과정에서 발생하는 트래픽을 가로채는 기법을 사용해, 데이터 유출이나 악성 소프트웨어 배포를 가능하게 했다. 또한, 이 공격은 캡티브 포털을 이용해 사용자를 조작함으로써, 사용자에게 공격이 일어난다는 인식이 없도록 만들었다.

이러한 공격은 국가적 해킹 조직이 사용할 수 있는 기법으로, 정치적, 군사적 정보를 수집하는 데 적합하다. 특히 외교관이나 정부 고위급 인물이 주요 타겟일 경우, 정치적 위험이 커진다.

GTIG는 이 공격을 국제적 보안 위협으로 분류하며, 사용자 보호를 위한 기술적 대응이 필요하다고 강조했다. 이에 따라, 암호화된 네트워크, 캡티브 포털의 보안 강화, 사용자 인식 교육 등이 필요하다고 제안했다.

---

5️⃣ 보안 대응 전략

해킹 조직의 공격을 방지하기 위해 기술적 대응과 사용자 교육이 필요하다.

1. 암호화된 네트워크 사용

• HTTPS와 같은 암호화 기법을 사용해 데이터가 해독되지 않도록 한다.
• SSL/TLS 인증서 검증을 강화해 가짜 인증서의 위협을 줄인다.

2. 캡티브 포털 보안 강화

• 캡티브 포털에 악성 코드 삽입을 방지하기 위해, 네트워크 관리자가 정기적인 보안 점검을 수행해야 한다.
• 사용자 인증 과정을 다중 인증(2FA)으로 강화해, 해커의 접근을 제한한다.

3. 사용자 인식 교육

• 가짜 소프트웨어 업데이트나 캡티브 포털 조작에 대한 사용자 인식을 높인다.
• 공격을 인식하고, 조치를 취할 수 있는 능력을 키워야 한다.

4. 실시간 모니터링 및 대응

• 네트워크 트래픽 모니터링을 통해 이상 트래픽을 감지하고, 즉시 대응해야 한다.
• 사전에 보안 패치를 적용해, 공격의 사전 예방을 한다.

---

6️⃣ 결론

해킹 조직이 캡티브 포털과 MITM 공격을 결합해 가짜 소프트웨어 업데이트를 통해 사용자를 조작하는 공격은, 고도화된 기술적 위협을 보여준다. 이는 정치적, 군사적 정보를 탈취하는 데 적합한 공격 방식으로, 국가적 보안 위협으로 분류된다.

이러한 공격을 방지하기 위해서는 암호화된 네트워크, 캡티브 포털 보안 강화, 사용자 인식 교육, 실시간 모니터링 등의 기술적 대응이 필요하다. 또한, 정부 기관과 국제 협력을 통해 공격의 사전 예방과 사후 대응을 강화해야 한다.

이 공격은 국제적 보안 위협의 한 예로, 사용자 보호와 국가적 안보를 위한 기술적 대응이 필수적임을 다시 한 번 강조한다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=169090