러시아 GRU, 구형 라우터 DNS 조작으로 인증 토큰 탈취
러시아 군사정보부 GRU 산하 해킹 그룹 'Forest Blizzard'(APT28, 팬시 베어)가 구형 인터넷 라우터의 알려진 취약점을 악용해 마이크로소프트 Office 사용자들의 인증 토큰을 대량 탈취한 것으로 보안 전문가들이 밝혔다. 이 스파이 활동은 악성 소프트웨어나 코드 설치 없이도 이뤄졌으며, 18,000개 이상의 네트워크에서 5,000여 대의 기기가 감염된 것으로 확인됐다.
Forest Blizzard(APT28)의 공격 방식
룸렌의 보안 부서인 블랙 로터스 랩스에 따르면, Forest Blizzard는 2025년 12월 정점기에는 주로 지원 종료된 구형 라우터(Mikrotik, TP-Link 등)를 대상으로 공격했다. 이 그룹은 정부 기관(외교부, 법집행기관 등)과 제3자 이메일 제공업체를 주로 노렸다.
공격자들은 라우터의 DNS 설정을 조작해 해커가 통제하는 DNS 서버로 리디렉션하는 방식으로 작동했다. DNS 하이재킹 공격은 사용자가 웹사이트에 접속할 때 발생하는 DNS 요청을 가로채 악성 사이트로 유도하는 기법이다. 이 과정에서 사용자의 로그인 정보나 민감한 데이터를 탈취할 수 있다.
OAuth 인증 토큰 탈취 메커니즘
Forest Blizzard는 라우터를 장악한 후 로컬 네트워크 내 모든 사용자의 DNS 요청을 제어할 수 있게 됐다. 사용자가 로그인 후 다단계 인증을 통과하면 전송되는 OAuth 인증 토큰을 중간에서 가로채 직접 계정에 접근할 수 있었다. 이는 개별 사용자의 로그인 정보나 일회용 코드를 피싱할 필요 없이 이뤄졌다.
블랙 로터스 랩스의 보안 엔지니어 라이언 잉글리시(Ryan English)는 "많은 사람들이 복잡한 악성 소프트웨어를 예상하지만, 이들은 구식 방법으로도 효과를 냈다"며 이 공격의 단순함을 강조했다.
공격 대상 및 피해 규모
- 공격 대상: 정부 기관(외교부, 법집행기관), 제3자 이메일 제공업체
- 피해 규모: 18,000개 이상의 네트워크, 5,000여 대의 소비자 기기
- 주요 타겟 장비: Mikrotik, TP-Link 등 SOHO용 구형 라우터
Forest Blizzard(APT28)의 과거 활동
Forest Blizzard는 2016년 미국 대선 간섭을 목적으로 힐러리 클린턴 캠프, 민주당全国위원회, 민주당 의회 캠프aign 위원회를 해킹한 것으로 잘 알려져 있다. 이 그룹은 러시아 GRU의 군사정보부 산하로 분류된다.
DNS 하이재킹 공격의 위험성
DNS 하이재킹은 사용자가 웹사이트에 접속할 때 발생하는 DNS 요청을 가로채 악성 사이트로 유도하는 공격 기법입니다. 이 과정에서 로그인 정보, 인증 토큰, 민감한 데이터 등이 탈취될 수 있어 개인과 조직 모두에게 큰 위협이 됩니다.
보안 전문가들의 경고
영국의 국가사이버보안센터(NCSC)는 러시아 사이버 공격자들이 라우터를 어떻게 장악하는지에 대한 새로운 경고를 발표했다. NCSC는 DNS 하이재킹 공격이 로컬 네트워크 전체에 영향을 미칠 수 있으며, 특히 구형 라우터를 사용 중인 경우 보안 업데이트를 즉시 적용할 것을 권고했다.
미국 사이버보안기관 CISA 또한 구형 네트워크 장비의 사용 중단을 권장하며, 최신 보안 패치를 적용하고 다단계 인증을 활성화할 것을 강조했다.
예방 조치 및 대응 방안
보안 전문가들은 다음과 같은 예방 조치를 권장한다:
- 라우터 펌웨어 최신 버전 유지: 지원 종료된 장비는 교체 권장
- DNS 설정 확인: 알 수 없는 DNS 서버가 설정되지 않았는지 주기적으로 점검
- 다단계 인증 활성화: OAuth 인증 토큰 탈취 위험 감소
- 네트워크 모니터링: 비정상적인 트래픽 패턴 감지 시 즉시 대응
- 정기적인 보안 감사: 네트워크 장비의 보안 상태 점검
결론
Forest Blizzard의 공격은 구형 라우터의 DNS 취약점을 악용한 단순하면서도 효과적인 방법으로 주목받고 있다. 악성 소프트웨어 없이도 대규모 스파이 활동이 가능하다는事实证明은 사이버 보안의 새로운 위협으로 주목된다. 사용자와 조직은 구형 장비의 교체와 보안 업데이트 적용을 통해 이러한 공격을 예방해야 한다.
관련 기사
시스코 SD-WAN 제로데이 취약점, 지속 공격 중… 위협 그룹 ‘UAT-8616’ 연관
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
미국 국방부, AI 혁명이 전쟁 패러다임 바꿀 것이라 경고
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
백악관 사이버 보안 책임자, AI 시대 identity 보안 강화 필요성 강조
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
폭스콘, 북미 공장 사이버 공격 인정… 랜섬웨어 그룹 ‘나이트로겐’ 주장
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
AI 변기 분석 앱, 사용자 대변 15만 장 데이터베이스 판매 제안
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
AI 최신 모델, 사이버 보안 자동화 능력 급등…인간 전문가 추월 속도 가속화
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
미국 하원, AI 모델 '마이토스'와 사이버 보안 위험에 대한 청문회 개최 앞두고 비공개 브리핑 진행
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
AI 무기화 시대: 사기 및 신원 위조의 새로운 위협
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...