APT28 프로스트아르마다 공격 캠페인
러시아와 연계된 위협 그룹 APT28(일명 Forest Blizzard)이 정교한 사이버 스파이 활동을 통해 취약한 네트워크 인프라를 악용하여 대규모 감시를 자행했습니다. FrostArmada라는 코드명을 가진 이 캠페인은 적어도 2025년 5월부터 활동해 왔으며, 보안이 취약한 MikroTik 및 TP-Link 라우터를 공격하여 악성 자산으로 전환하는 데 집중했습니다.
이 공격은 주로 가정 및 소규모 사무실(SOHO) 기기를 대상으로 했으며, 취약한 설정을 악용하여 DNS 설정을 조작했습니다. 이를 통해 공격자는 네트워크 트래픽을 가로채고 리디렉션하여 은밀하고 거의 탐지 불가능한 데이터 수집을 가능하게 했습니다.
목차
DNS 하이재킹: 라우터를 은밀한 감시 도구로 활용하기
이번 공격의 핵심은 DNS 하이재킹이라는 기술로, 공격자가 정상적인 트래픽을 악의적인 인프라를 통해 우회시킬 수 있도록 했습니다. 라우터가 해킹당하면 DNS 설정이 공격자가 제어하는 서버를 가리키도록 변경됩니다. 이러한 조작을 통해 사용자 개입 없이도 민감한 데이터를 가로챌 수 있었습니다.
사용자가 특정 도메인에 접속하려고 시도하면, 해당 요청은 공격자 중간자(AitM) 노드로 은밀하게 리디렉션됩니다. 이 노드들은 로그인 자격 증명을 포함한 인증 데이터를 캡처하여 공격자에게 전송합니다. 이러한 과정은 매우 은밀하게 진행되어 탐지가 극히 어렵습니다.
공격 사슬 분석: 취약점 악용부터 자격 증명 탈취까지
공격 과정은 데이터 수집을 극대화하고 탐지를 최소화하도록 설계된 구조화된 순서를 따랐습니다.
- SOHO 라우터의 초기 침해는 취약점 또는 허술한 설정으로 인해 발생합니다.
- 무단 관리자 접근 및 DNS 설정 변경
- 악의적인 공격자가 제어하는 리졸버로 DNS 쿼리 리디렉션
- AitM 인프라를 통한 사용자 트래픽 가로채기
- 비밀번호 및 OAuth 토큰을 포함한 자격 증명 수집 및 유출
이 방법을 통해 공격자는 웹 기반 Microsoft Outlook 및 기타 Microsoft 호스팅 시스템이 아닌 시스템을 포함하여 이메일 플랫폼 및 웹 서비스에 대한 로그인 시도를 모니터링할 수 있었습니다.
글로벌 진출 및 전략적 타겟팅
이 캠페인은 시간이 지남에 따라 크게 확장되었습니다. 2025년 5월에 제한적인 규모로 시작되었지만, 8월 초에 이르러서는 광범위한 악용 시도가 급증했습니다. 2025년 12월 최고조에 달했을 때는 최소 120개국에서 18,000개 이상의 고유 IP 주소가 공격자가 제어하는 인프라와 통신하는 것이 관찰되었습니다.
주요 목표는 다음과 같습니다.
- 외교부 및 법 집행 기관과 같은 정부 기관
- 타사 이메일 및 클라우드 서비스 제공업체
- 북아프리카, 중앙아메리카, 동남아시아 및 유럽 전역의 조직들
200개 이상의 조직과 약 5,000대의 소비자 기기가 영향을 받았으며, 이는 해당 작전의 규모와 영향력을 보여줍니다.
취약점 악용 및 인프라 전략
공격자들은 알려진 취약점을 악용하여 네트워크 장치에 접근했습니다. 특히, TP-Link WR841N 라우터는 CVE-2023-50224라는 인증 우회 취약점을 이용해 공격받았는데, 이 취약점을 통해 특수하게 조작된 HTTP GET 요청을 이용하여 자격 증명을 추출할 수 있었습니다.
또한, 손상된 라우터에서 원격 공격자 제어 서버로 DNS 트래픽을 중계하는 역할을 하는 보조 인프라 클러스터가 확인되었습니다. 이 클러스터는 특히 우크라이나에 있는 특정 MikroTik 라우터를 대상으로 표적화된 대화형 공격을 수행했습니다.
엣지 디바이스 침해를 통한 고도화된 스파이 활동
이번 캠페인은 APT28의 작전 전술에 있어 중요한 진화를 보여줍니다. 이 그룹은 처음으로 대규모 DNS 하이재킹을 통해 전송 계층 보안(TLS) 연결에 대한 AitM 공격을 수행할 수 있는 능력을 입증했습니다.
공격자들은 기업 시스템보다 감시가 덜한 경우가 많은 엣지 디바이스를 침해함으로써 네트워크 트래픽에 대한 상위 수준의 가시성을 확보했습니다. 이러한 전략적 위치를 통해 공격자들은 가치가 높은 목표물을 식별하고 정보 수집에 중요한 개인이나 조직을 선택적으로 공격할 수 있었습니다.
이번 작전은 기회주의적인 성격을 띠는 것으로 평가되며, 초기에는 광범위하게 접근한 후 확보한 데이터의 가치를 기준으로 점차 목표 대상을 좁혀가는 방식입니다.
운영 중단 및 지속적인 위험
미국 법무부, 연방수사국(FBI) 및 국제 파트너들이 참여한 합동 작전을 통해 프로스트아르마다(FrostArmada)를 지원하던 악성 인프라가 해체되었습니다. 이러한 조치에도 불구하고, 사용된 공격 기법들은 보안이 취약한 네트워크 장치와 관련된 지속적인 위험성을 보여줍니다.
이번 캠페인은 주로 정보 수집에 초점을 맞추었지만, AitM 위치 정보 활용은 더 광범위한 위협을 내포하고 있습니다. 이러한 접근 권한은 악성코드 배포나 서비스 거부 공격과 같은 악의적인 활동을 가능하게 하여, 표적 조직에 미치는 잠재적 영향을 크게 증가시킬 수 있습니다.
결론: 네트워크 보안에 대한 경각심을 일깨우는 메시지
FrostArmada 캠페인은 네트워크 환경 내 엣지 디바이스 보안의 중요성을 강조합니다. 라우터 및 DNS 인프라를 악용하면 공격자는 기존 보안 제어를 우회하여 강력하고 은밀한 감시 수단을 확보할 수 있습니다.
조직과 개인 모두 고도화된 위협 행위자들이 제기하는 위험을 완화하기 위해 네트워크 장치의 적절한 구성, 시기적절한 패치 적용 및 지속적인 모니터링을 우선시해야 합니다.
