via SK브로드밴드 블로그

올해 초 인터넷 공유기의 취약점을 악용해 사용자들을 피싱 사이트로 유도하고, 파밍 애플리케이션을 설치하도록 하는 수법이 등장한 이후 지속적인 피해 사례가 발견돼 주의가 필요하다.

이 수법은 공격자가 관리자 암호가 설정돼 있지 않은 공유기에 접속해 공유기의 DNS 주소를 특정 IP주소로 변경하는 방식이다.

DNS 주소가 변경될 경우 주소를 제대로 입력하더라도 공격자가 의도한 웹사이트로 이동이 된다. 마이크로소프트(MS) 윈도에서 호스트파일을 변경하는 것과 같은 효과를 볼 수 있다.


PC방이나 카페 등에서 마케팅을 위해 사용되던 이 방법이 이제는 파밍 공격을 위한 획기적인 방법으로 떠오르고 있는 것이다.

공격자는 공개돼 있는 공유기에 접속한 뒤 설정을 변경한다. 이들은 효과를 극대화하기 위해 카페나 도서관 등 사용자가 몰리는 장소에 설치된 공유기를 주된 타깃으로 삼고 있는 것으로 보이며, 대학가 등 유동인구가 많은 지역에서도 피해사례가 보고되고 있다.

공유기 해킹에 대한 피해는 크게 두가지로 나뉘어진다. 먼저 PC의 경우 파밍용 홈페이지에 접속을 유도한 뒤 악성코드를 설치, 개인정보와 금융정보를 탈취하는 방식이다.

특정 사이트에 접속만 하더라도 악성코드를 내려받을 수 있는 ‘드라이브 바이 다운로드(Drive by Download)’ 수법이 악용된다.

스마트폰도 자유롭지 못하다. 특히 서드파티 애플리케이션 설치가 자유로운 안드로이드폰이 피해를 입을 수 있다.
 스마트폰을 통해 네이버, 다음과 같은 포털사이트에 접속하면 ‘네이버를 사칭한 변조사이트’라는 메시지를 노출하며, 이를 차단할 수 있는 앱을 설치하라고 요구한다.

즐겨찾기를 통해 접속하거나 사용자가 직접 주소를 입력해서 접속하더라도 DNS 서버가 변경된 이후이기 때문에 원치않는 사이트로 접속되는 것이다.

지난 5월에는 네이버와 다음 등 포털사 앱의 업데이트를 가장한 악성 앱이 배포됐으나 최근에는 한국인터넷진흥원(KISA)이나 경찰청을 사칭한 악성 앱도 발견되고 있다.

이 공격은  팝업의 형태로 메시지가 노출되기 때문에 많은 사용자들이 이를 설치하는 경향이 높은 것으로 알려졌다.

사용자가 악성 앱을 받아 설치할 경우 문자메시지, 주소록 등의 정보가 유출되며, 또 다른 악성 앱이 추가로 설치 될 가능성도 높아져 피해가 확산될 수 있다.


이와 같은 메시지를 확인하면 취소를 선택하고 해당 와이파이를 사용하지 않는 것이 좋다. 이미 확인을 통해 내려 받았다면 신속히 삭제해야 한다.

공유기 DNS 주소가 변경된 상황이라면 노트북 등을 사용해 포털사이트에 접속할 경우에도 동일한 상황이 발생될 수 있다. 공격자는 웹브라우저의 헤더값을 분석한 뒤 PC와 모바일을 구분하는 식으로 공격한다는 사례도 보고된 바 있다.

이러한 문제를 근본적으로 해결하기 위해서는 공유기 설정을 변경해야 한다. 엔드포인트에서 DNS 서버가 변경된 공유기를 쓰는 한, 공격자의 손바닥 위에 있기 때문이다.

설정을 변경하기 위해서는 공유기의 관리자 페이지에 접속한 뒤 변경된 DNS 서버 주소를 원상태로 복구해야 하며 관리자 암호 등를 설정해 외부의 접근을 사전에 차단해야 한다.

KT, SK브로드밴드 등 국내 인터넷서비스업체들은 DNS 주소를 자동으로 설정해주므로 수동으로 돼 있는 체크박스를 변경해주면 해결된다.

자세한 해결 방법은 자신이 사용하고 있는 공유기의 제조사를 확인한 뒤 아래 링크를 통해 알아볼 수 있다.

- 네티스코리아

http://www.netiskorea.com/atboard_view.php?grp1=news&grp2=notice&uid=8156


- 넷기어
http://www.netgear-support.co.kr/Support/at_SingleBoard/support_faq_list.asp -> 각 공유기 모델별 “ 공유기 암호 및 원격관리 매뉴얼” 참고


- 넷탑씨앤씨(NTP)
http://www.nettop.co.kr/ -> 공지사항 -> “공유기를 이용한 파밍 공격 대처 요령” 참고


- 다보링크
http://www.davolink.co.kr/board/board.asp?chrBType=NOTICE&pageMode=READ&bIndex=5914&menuSeq=22


- 디링크
http://mydlink.co.kr/2013/notice/notice_detail.php?no=63&code=mydlink_notice_2009


- 디지털존(WeVo)
http://www.iwevo.co.kr/board.php?BID=board01&GID=root&mode=view&adminmode=&UID=55&CURRENT_PAGE=1&BOARD_NO=37&SEARCHTITLE=&searchkeyword=&category=


- 블레스정보통신(ZIO)
http://myzio.net/zio/pds/notice_security.pdf


- 애니게이트앤씨(ANYGATE)
http://www.anygate.co.kr/pub/bbs/content.asp?table=bbs_01&multi=bbs_notice&idx=529&visited=1425&page=1&startpage=1&search_1=&keyword_1=&list_pagesize=20&list_file=/pub/bbs/default.asp


- 유니콘
http://www.eunicorn.co.kr/kimsboard7/bbs..php?table=unicorn_faq&query=view&uid=1036


- EFM(ipTIME)
http://www.iptime.co.kr/~iptime/bbs/view.php?id=faq_setup&page=1&ffid=&fsid=&dffid=&dfsid=&dftid=&sn1=&divpage=1&dis_comp=&sn=off&ss=on&sc=on&keyword=계정&select_arrange=headnum&desc=asc&dis_comp=&ng_value=&x_value=&no=583


- 이지넷유비쿼터스(NEXT)
http://www.ez-net.co.kr/new_2012/customer/userguide_view.php?cid=&sid=&goods=&cate=&q=&seq=75&PHPSESSID=b7cbd945f0fbf81cc44542f84c4a6d53


- 티피링크
http://www.tplink.com/kr/article/?faqid=666


- 파테크(Axler)
https://www.axler.co.kr/ -> 공지사항 -> “[공지]파밍사이트(금강원) 및 무선 보안 임의 설정 관련” 참고

(출처 : 한국인터넷진흥원 인터넷침해대응센터)

댓글 쓰기

키워드

#보안
저작권자 © 딜라이트닷넷 무단전재 및 재배포 금지