최근 수정 시각 : 2024-10-23 12:38:33

Darkhotel

1. 개요2. 활동3. 배후?

1. 개요

주로 일본, 홍콩, 중국, 대만, 북한, 러시아 등 동아시아권[1]의 대기업 임원, 정치인을 타겟으로 한 해커팀. 간혹 해외에서는 텅스텐 브릿지라고도 불린다. 그 이유는 텅스텐 문서 참조.

2. 활동

대략 2004~2007년 경에 탄생하였지만 본격적인 활동은 2014년 무렵부터 시작했다. 주로 고위층 인사들이 투숙하는 고급 호텔을 이용한다. 공격 방식은 대략 피해자가 와이파이를 사용할 때, 호텔의 객실 번호를 이용해 피해자의 신원을 파악한 뒤, 인터넷을 사용할 때 어도비 플래시 등의 취약점을 이용하거나 구글, 마이크로소프트 등을 사칭한 팝업창 혹은 피싱 메일을 클릭하게 해 악성코드를 감염시켜 백도어를 만든다. 대부분의 고위 인사를 타겟으로 한 해킹팀의 특성상 한번 감염시킨 것으로 끝내지 않고 끝까지 끈질기게 타겟에게 사칭 메일 등을 보내 여러 번 속여 정보 등을 빼낸다.

2015년도에 이탈리아 해킹팀에게서 유출된 거대 자료들을 부지런히(?) 적용하는 등 업데이트도 상당히 빠른 편. 그 이후 2016년에는 중국과 북한 측에 공격을 가하다가 한동안 잠잠했는데, 2017년에는 주 공격 방식을 이전에 유행했던 제로 데이 공격에서 소셜 엔지니어링 공격 방식으로 바꾸었으며 멀웨어까지 대동하였고 2018년에도 활발히 활동하고 있다.

2019년에는 여타 눈에 띄는 움직임이 없고 잠잠해 해체되거나 후술할 Scarcruft와 같은 다른 이름으로 활동을 하고 있을 거란 추측이 많다. 해커 입장에선 너무 유명해지거나 눈에 띄는 것이 꺼려질 수밖에 없으므로. 단순히 조용히 활동하고 있는 것 뿐이라는 의견도 제시된다.

물론 움직임이 없다는 것이 정말로 활동을 하지 않고 있다는 의미는 아니다. APT 공격의 특성상 모든 공격이 반드시 탐지가 된다는 보장이 없기 때문이다. 반대로 말하면 보안 업체들의 탐지를 피해 은밀한 활동에 성공하고 있다고 볼 수도 있다. 실제로 2019년 12월에 배후가 Darkhotel 로 추정되는 공격이 Kaspersky 에 의해 탐지되었다. 이 공격은 제로 데이 취약점을 몇 개나 사용한 제로 데이 공격이었으므로, 지금까지는 단지 탐지가 안 되고 있었던 것으로 생각하는 게 합리적일 것이다.[2]

그러다 2020년 새해부터 다시 복귀해 활동을 본격적으로 시작했다. 특히 4월에는 중국의 Sanfor SSL VPN 서버에서 제로데이 공격을 다시 사용해 기업 및 정부 네트워크에 대한 대규모 해킹 작업을 하였다. 세계보건기구가 공격받은 형식과 비슷한 것을 보아 정황상 다크호텔 측이 중국 정부와 세계보건기구가 코로나 사태를 어떻게 처리했는지에 대한 정보를 얻으려 했던 것으로 추정된다. 또한 당시 유출된 인터넷 익스플로러의 보안 취약점을 이용, 중국 정부 기관과 일본의 여러 단체들에 대한 사이버 공격이 심화되고 있으며 다크호텔로 의심된다고 한다. #

2022년 3월 경 마카오의 고급 호텔들을 공격해 숙박객의 데이터를 빼앗았다. 다크호텔이라 직접적으로 확신할 수는 없으나 공격 방식이 유사해 다크호텔의 소행이라는 설이 유력하다. 특이한 점은 이번에는 아예 세계의 보안 언론들에서 대놓고 다크호텔은 대한민국과 연결되었거나 한국의 해커들이라 추정된다고 못을 박았다.

3. 배후?

공격에 사용된 프로그램 코드 내부에서 한글이 발견되어 북한이나 한국인의 소행일 거라는 추측이 예전부터 상당히 많았다. 2014년 산케이신문은 피해자들 대부분이 일본계인 점, 당시 신일철주금과 도시바가 각각 포스코 SK하이닉스에 건 소송이 진행중이었단 점에 주목했다. 게다가 2015년 경 한국의 프로그래머 블로거가 테스트 용도로 제작해 공개하였던 코드를 무단으로 사용한 전적도 있다.

2017년도에 북한을 타겟으로 한 정체불명의 일명 콘니(konni) 멀웨어가 조용히 활동해왔다는 사실이 밝혀졌는데, 공격 방식이 유사하고, 다크호텔과 비슷한 시기인 최소 3년 동안 활동해왔던 점, 빠르게 업데이트를 해나가는 점 등에서 다크호텔과 연관성이 제기되었다.

사실 스턱스넷, 레긴의 사례처럼 이런 국가를 배후로 한 해커팀의 존재 자체는 공공연한 비밀. 심지어 각 국가별 해커팀이 서로를 견제하고 협력하는 일도 종종 있다. 다크호텔도 마찬가지로 ScarCruft[3]라는 조직과 협력하고 있다는 설이 돈다. 2019년에 텐센트가 보고한 Higaisa[4]해킹 그룹과의 연관점도 떠올랐는데 히가이사는 다크호텔과 동일한 목표인 WHO, 중국, 북한을 털고 있으며 대놓고 소스코드에 NIS_K, Parasite_SK란 문구가 박혀있다.

2022년 저지른 마카오의 고급 호텔에 머무는 숙박객들을 향한 공격에서는 대부분의 보안 업체나 언론에서도 배후를 확신했는지 대놓고 해외의 뉴스에서는 대놓고 '남한'과 연관되어있다거나 아예 대한민국의 해킹 그룹이라고 언급하고 있다.

다만 어디까지나 어떤 공격에 대해 배후를 특정 단체로 지목하는 것은 보안 업체의 "추정" 에 근거하는 것이므로, 실제로는 여러 조직의 공격으로 판단한 것이 한 조직에서 행한 것일 수도 있으며 반대로 가령 Darkhotel 의 공격으로 추정한 것들이 사실은 서로 다른 조직에서 행한 공격일 수도 있다. 보통 공격 코드의 특성에서 추정하는데 이게 당연히 불완전한 추정일 수밖에 없을 뿐더러 다른 조직이 그대로 모방할 수도 있는 것이므로 한계가 있다는 것은 염두에 두어야 한다.


[1] 간혹 독일도 타겟이 되기도 한다. [2] 물론 이 공격의 경우 정교한 APT 가 아니라 특정 사이트에 악성코드를 심어 무차별적으로 감염시키는 워터링 홀 공격이었으므로 비교적 쉽게 탐지가 된 것도 있다. [3] 다크호텔과 비슷하게 러시아, 중국, 한국을 타겟으로 한 조직. 이름의 유래는 당연히 스타크래프트. [4] 일본어로 '피해자' 라는 뜻이다.