호텔이 위험하다. 러시아 보안 업체인 카스퍼스키랩(Kaspersky Lab)이 호텔에 체류하고 있는 기업 임원을 노린 악성코드 공격은 적어도 4년 전부터 이뤄지고 있었다고 밝혔다. 이 공격은 고급 암호화 공격과 제로데이, 고기능 키로거 등을 결합한 것이다.
다크호텔(Darkhotel)이라고 명명한 이 APT(Advanced Packaging Tool) 공격은 대상을 감염시키는 방법도 다양하다. 구글툴바나 어도비 플래시 플레이어 같은 소프트웨어 업데이트를 하는 등 호텔 와이파이나 유선 인터넷에 접속할 때 정품 소프트웨어를 가장해 공격을 시도한다.
다크호텔 악성코드는 이미 많은 호텔에 확산되고 있다고 한다. 투숙객이 와이파이에 연결하면 소프트웨어 업데이트를 위장해 프로그램을 설치하라는 메시지를 내보내는 등 다양한 방법을 이용한다. 이런 공격에는 플래시나 인터넷 익스플로러 같은 소프트웨어에 이전부터 존재하던 취약점을 노린 공격도 포함되어 있다.
자료에 따르면 공격자는 머신에 다운로드한 백도어를 통해 표적의 지위 등을 선별, 더 고급도구를 내려 받게 할지 여부를 판단한다. 이를 거쳐 사용자 정의 악성코드를 설치, 기밀 정보 입수에 성공하면 빠져나와 잠복, 다음 표적을 기다린다.
이런 다크호텔 악성코드는 P2P 파일 공유 서비스인 비트토렌트 등의 피드에 무차별 살포되기도 한다. 악성코드를 감춘 피드 일부는 6개월 안에 3만 회 이상 다운로드된 것도 있다고 한다. 카스퍼스키랩 측은 다크호텔에 감염된 피드를 지금까지 수천 단위로 감지했는데 대부분은 비트토렌트 피드였다고 한다.
또 이번 보고서에 따르면 P2P를 통한 다크호텔 악성코드에 감염된 건수가 가장 많은 상위 5개국은 일본과 대만, 중국, 러시아, 우리나라 순이었다고 한다. 물론 다크호텔 공격 표적 통계를 뽑아내기 쉽지 않아 인도가 최다라는 추정도 있다.
전자신문인터넷 테크홀릭팀
이원영IT칼럼니스트 techholic@etnews.com