[2026-04-09] 러시아 APT28, DNS 악용해 정보 탈취

 

 

 

 

오늘의 뉴스클리핑의 이슈는 바로 러시아 APT28의 DNS를 악용한 정보 탈취 입니다 - !

 

 

 

 

 

 

 

 

 

 

- 기사요약

 

러시아 정찰총국(GRU) 소속으로 알려진 국가급 해킹 조직 'APT28'이 전 세계적으로 보안 관리가 취약한 인터넷 공유기(라우터) 수만 대를 몰래 장악하여 대규모 스파이 활동을 벌이다가, 미국과 영국 보안 당국의 국제 공조 작전을 통해 무력화된 사건이다. 이들은 단순한 사이버 범죄를 넘어 전 세계 주요 국가 기관을 노렸으며, 일상적인 인터넷 장비가 국제 스파이전의 거대한 정보 수집 인프라로 악용될 수 있음을 보여줬다.

 

 

APT28
1) 러시아 정찰총국(GRU)에 소속되어 국가의 지원을 받으며 활동하는 것으로 알려진 고도의 지능형 해킹 그룹
2) 주로 스파이 활동이나 기밀 정보 탈취를 목적으로 은밀하고 지속적인 공격을 수행

 

 

- 공격과정 

 

① 라우터 해킹 → ② DNS 하이재킹 → ③ MITM 형성 → ④ DHCP로 전체 기기 확산 → ⑤ Credential 및 Token 탈취

 

 

-공격과정 1: 취약점 악용을 통한 기기 장악 및 DNS 설정 변조

해커는 전 세계 인터넷망을 스캔하여 보안 업데이트가 누락된 미크로틱 및 티피링크 공유기를 찾아낸다. 이후 표적 기기에 특수하게 조작된 데이터를 전송해 정상적인 로그인 절차를 시스템이 우회하게 만드는 인증 우회 취약점(CVE-2023-50224)을 악용하여 최고 관리자 권한을 탈취한다. 관리자 권한을 확보한 해커는 기기의 네트워크 설정을 마음대로 조작할 수 있게 된다. 공유기에 기본적으로 설정되어 있던 안전한 통신사 DNS 서버 주소를 지우고, 자신들이 직접 통제하는 악성 DNS 서버 주소로 덮어씌워 해당 기기를 거치는 모든 통신 트래픽의 방향을 가로챌 준비를 한다.

DNS 하이재킹(DNS Hijacking)
: 공격자가 DNS 질의 또는 응답 과정이나 DNS 설정을 변조하여, 사용자가 요청한 정상 도메인을 공격자가 의도한 다른 IP 주소로 연결되도록 만드는 공격 기법

펌웨어 (Firmware) : 하드웨어(라우터 등)에 내장된 운영 소프트웨어

 

 

-공격과정 2: 악성 서버로의 트래픽 유도 및 중간자 공격을 통한 정보 탈취

DNS 설정이 변조된 공유기에 연결된 사용자가 평소처럼 웹 브라우저에 정상적인 업무 사이트 주소를 입력하면, 기기는 해커의 악성 DNS 서버로 목적지를 질의하게 된다. 악성 서버는 실제 기관의 주소가 아닌 해커가 실제와 똑같이 복제해 둔 가짜 위장 페이지의 접속 주소를 반환하여 사용자를 강제 유도한다. 사용자가 화면 속 가짜 페이지에 속아 로그인 정보를 입력하면, 해커는 중간자 공격(AitM) 기법을 통해 이 통신 과정에 몰래 끼어든다. 암호화된 TLS 통신까지 무력화하여 사용자 화면에 보안 경고가 뜨지 않게 만들고, 아이디와 비밀번호는 물론 2차 인증(MFA) 통과 시 발급되는 세션 토큰까지 실시간으로 가로챈다.

중간자 공격(AitM, Attacker-in-the-Middle)
: 공격자가 통신 중간에 개입하여 데이터를 가로채는 공격 (MITM의 고도화 형태)

DHCP (Dynamic Host Configuration Protocol) : IP 주소와 DNS 서버 정보를 자동으로 할당하는 프로토콜

 

 

-공격과정 3: 탈취한 자격 증명을 이용한 표적 기관 내부망 침투 및 기밀 데이터 유출

앞선 단계에서 실제 사용자의 아이디, 비밀번호, 인증 세션 토큰까지 모두 확보한 해커는 이를 이용해 외교부나 법 집행 기관 등 최종 타깃 시스템에 접속한다. 시스템은 해커의 접속 시도를 이미 정상적인 2차 인증까지 마친 합법적인 내부 직원으로 인식하기 때문에, 보안 차단 없이 내부망 침투가 이루어진다. 내부 시스템에 진입한 해커는 시스템 내부를 탐색하며 국가 안보와 직결된 클라우드 저장소나 이메일 데이터베이스에 접근한다. 핵심 기밀 파일과 민감한 통신 내역을 은밀하게 수집한 뒤, 보안 장비의 감시망을 피하기 위해 데이터를 스스로 암호화하고 분할하여 자신들의 서버로 완전히 빼돌리게된다.

 

 

-개인의견

이 기사는 가정이나 일반 사무실에서 아무런 의심 없이 사용하는 평범한 공유기가 언제든지 국가급 사이버 공격의 치명적인 통로로 전락할 수 있다는 경각심을 준다. 가장 주목해야 할 점은 APT28과 같은 고도화된 위협 그룹이 암호화 통신까지 개입하는 복잡한 해킹 기술을 사용했음에도 불구하고 그들의 최초 침투 경로는 결국 방치된 기기의 알려진 취약점이었다는 사실이다. 이는 정보보안의 최전선이 새롭고 복잡한 시스템의 도입에 앞서, 주기적인 펌웨어 업데이트와 관리자 페이지 외부 접속 차단이라는 가장 기본적이고 원초적인 보안 수칙의 실천에 있음을 보여준다. 고도화된 보안 아키텍처를 설계하는 것만큼이나, 일상적인 네트워크 자산의 철저한 취약점 관리와 접근 제어가 대규모 침해 사고를 막는 가장 실효성 있는 방어 수단이 된다는 것을 깨달았다.

Q. 왜 하필 미크로틱과 티피링크브랜드가 주요 타깃이 된 것입니까? 다른 제조사 공유기는 안전한가요

A : 해당 브랜드 자체의 문제라기보다는, 두 회사의 기기가 전 세계적으로 매우 널리 사용되고 있는 반면, 사용자들이 보안 업데이트를 소홀히 한 채 방치된 경우가 많았기 때문입니다. 해커 입장에서는 대규모 공격 인프라를 구축하기에 가장 가성비가 좋은 사냥감이었습니다. 결코 다른 브랜드(예: ipTIME, ASUS, 넷기어 등)라고 해서 안전한 것은 아닙니다. 어떤 브랜드의 공유기라도 알려진 취약점을 패치하지 않고 방치하거나 관리자 페이지를 외부에 노출해 둔다면, 언제든지 제2의 프로스트아르마다 작전의 표적이 될 수 있습니다. 안전한 브랜드는 없으며, 철저한 관리만이 안전을 보장합니다.

Q. 암호화된 TLS 연결을 가로챘다면, 왜 사용자의 브라우저에는 안전하지 않은 사이트라는 인증서 경고가 뜨지 않았습니까?

A : 해커들이 단순한 패킷 스니핑(Sniffing)이 아닌, 고도화된 '리버스 프록시(Reverse Proxy)' 서버를 구축했기 때문입니다. 사용자의 트래픽이 해커의 서버로 유도되었을 때, 해커 서버는 해당 도메인에 대해 암호화 통신을 맺을 수 있는 유효한 TLS 인증서를 브라우저에 제시했습니다. 따라서 브라우저의 인증서 검증 로직이 정상적으로 통과되었습니다. 사용자 브라우저와 해커 서버 간에 먼저 암호화 세션이 맺어지고, 해커 서버가 다시 실제 기관 서버와 세션을 맺어 데이터를 중계하면서 그 안의 평문 데이터를 수집한 것입니다.

 

 

 

기사 출처 : https://www.boannews.com/media/view.asp?idx=143080