최근 **러시아 정부가 지원하는 해킹 그룹 ‘GruesomeLarch’ (APT28, Fancy Bear)**가 **“이웃 네트워크 공격(Nearest Neighbor Attack)”**이라는 새로운 해킹 기법을 개발한 것이 밝혀졌습니다. 이 기법은 멀웨어나 물리적 접근 없이, 인접한 기업의 Wi-Fi 네트워크를 악용해 침투하는 방식입니다.
🔍 공격 방식
이 공격은 2022년 2월, 러시아의 우크라이나 침공 직전 사이버 보안 기업 Volexity에 의해 처음 발견되었습니다. 해커들은 특정 기관(이하 ‘조직 A’)을 목표로 삼았으며, 우크라이나 관련 프로젝트를 수행 중이던 해당 조직을 침투하는 과정에서 아래와 같은 전략을 사용했습니다.
✅ 1. 패스워드 스프레이 공격
- 조직 A의 공용 시스템을 대상으로 비밀번호 스프레이 공격을 감행해 사용자 계정을 확보.
✅ 2. Wi-Fi 취약점 악용
- 다중 인증(MFA)이 인터넷 접속 차단을 방어하자, Wi-Fi 네트워크를 직접 공략.
- 조직 A의 기업용 Wi-Fi는 사용자 이름과 비밀번호만으로 접속 가능, 이 점을 악용.
✅ 3. ‘다단계 침투(Daisy-Chaining)’ 기법 활용
- 인접한 기업(조직 B, C 등)의 Wi-Fi를 먼저 해킹하여 조직 A로의 경로를 확보.
- **유선 및 무선 네트워크를 동시에 사용하는 ‘듀얼 홈 장치’**를 이용해 네트워크를 연결.
✅ 4. 내부 침투 & 은밀한 활동
- 침투 후 **Windows의 기본 도구(Living-off-the-Land 기법)**를 활용해 탐지를 피하며 네트워크를 이동.
- ‘Windows Cipher.exe’ 같은 안티포렌식 도구를 사용해 로그를 삭제하고 흔적을 감춤.
📌 주요 발견 사항
🔹 해커들은 단일 조직이 아니라 인근 기업까지 해킹하여 ‘중간 다리’ 역할을 수행.
🔹 조직 A의 방문자용 Wi-Fi(Guest Wi-Fi)와 내부 네트워크의 분리 수준이 낮아 해커들이 쉽게 이동 가능.
🔹 해커들은 기존에 설치된 Windows 유틸리티만을 활용해 탐지를 회피하는 고급 기법을 사용.
🛡️ 대응 방법 & 보안 강화 전략
이번 사건은 Wi-Fi 보안의 중요성을 강조하며, 기업 네트워크가 물리적으로 가깝다는 이유만으로도 공격 대상이 될 수 있음을 보여줍니다. 이를 방지하기 위해 조직에서는 다음과 같은 조치를 고려해야 합니다.
✅ 1. Wi-Fi 접근 강화
- Wi-Fi 접속 시에도 다중 인증(MFA) 적용 필수
- 단순 사용자 이름 & 비밀번호 인증 방식 폐지
✅ 2. 네트워크 격리(분리)
- 기업 내부 네트워크와 방문자용(Guest) Wi-Fi를 완벽하게 분리
- Wi-Fi와 이더넷(유선망) 간 상호 연결 제한
✅ 3. 내부 보안 점검 강화
- Windows의 기본 유틸리티가 비정상적으로 실행되는지 모니터링
Windows Cipher.exe,netsh,PowerShell등의 사용 로그 정기적으로 검사
⚠️ 결론: Wi-Fi 보안, 더 이상 선택이 아닌 필수
‘이웃 네트워크 공격’은 해커들이 점점 더 창의적인 방식으로 Wi-Fi 보안을 무력화하고 있음을 보여줍니다.
이제 기업들은 네트워크 보안을 단순히 인터넷 보안의 연장선이 아닌, 독립적인 보호 영역으로 인식하고 보다 강화된 접근 방식을 적용해야 할 시점입니다.
🔗 원문 기사: Wi-Fi Warfare: The Shocking New Hack